在Web场中的web.config中指定计算机密钥时是否存在安全风险?
答案 0 :(得分:3)
如果有人读取可能存在问题的机器密钥。一个明显的例子是它用于检查视图状态是否未被篡改。拥有密钥的任何人都可以绕过它。
请参阅http://msdn.microsoft.com/en-us/library/dtkwfdky.aspx#,它解释了如何对其进行加密。
哦,表格身份验证最糟糕的是使用它 - 请参阅Uses for MachineKey in ASP.NET
那就是说,当有钥匙时这是一个可以理解的问题。如果你有人得到它,这是一个问题。如果你试图保护,那么你需要另一把钥匙(即使它是隐藏的)。此外,有人首先在那里得到它。