.net 加密web.config是否毫无意义?
我今天读了一篇博客()关于如何使用aspnet_regiis工具加密应用程序设置/连接字符串等 他有一个后续帖子,有人反馈说这是浪费时间.net 加密web.config是否毫无意义?,.net,asp.net,encryption,web-config,.net,Asp.net,Encryption,Web Config,我今天读了一篇博客()关于如何使用aspnet_regiis工具加密应用程序设置/连接字符串等 他有一个后续帖子,有人反馈说这是浪费时间 我的问题是,你认为呢?一旦有人物理访问你的web.config文件,你是否完全被套住了?或者这是一个值得注意的预防措施吗?我不认为这是毫无意义的。如果有人访问了您的web服务器,是的,您会遇到很多麻烦。这是否意味着您需要允许他们同样访问您的数据库/中间层/应用程序服务器?您的实力与最薄弱的部分相当。您可以采取任何措施来提高安全性都是一件好事,尽管我不这么做 我
我的问题是,你认为呢?一旦有人物理访问你的web.config文件,你是否完全被套住了?或者这是一个值得注意的预防措施吗?我不认为这是毫无意义的。如果有人访问了您的web服务器,是的,您会遇到很多麻烦。这是否意味着您需要允许他们同样访问您的数据库/中间层/应用程序服务器?您的实力与最薄弱的部分相当。您可以采取任何措施来提高安全性都是一件好事,尽管我不这么做 我同意这样的观点,如果人们已经访问了你的web.configs,你可能会担心更糟糕的问题 我始终确保存储在中的任何db用户名/密码仅在站点数据库中具有datareader/datawriter
您可以做的一件事是在部署过程中使用生成工具(如MSBuild、NAnt、,Rake等。这样做不太费力,因此更容易被团队接受如果您使用可信连接连接到数据库,那么读取web.config仍然无法帮助他们获得数据库密码。