0

我在硬件负载平衡器后面有 Server 2008 R2 / IIS 7.5 Web 服务器。为了使负载平衡正常工作,我必须在服务器之间指定一个公共 IIS 机器密钥,并禁用“为每个应用程序生成唯一密钥”的选项以用于验证和解密密钥(也使用会话状态服务器,但现在没关系)。

IIS GUI 的机器密钥部分说“为了提高应用程序之间的安全性,为每个应用程序生成一个唯一的密钥。” 如果我不“为每个应用程序生成唯一密钥”,安全风险是什么?

4

1 回答 1

0

如果一台机器的密钥被泄露,这意味着攻击者可以使用相同的密钥来解密来自共享该密钥的其他机器的通信。当您与多人共享密码时,请考虑风险。

攻击者还能够预测会话 ID 或创建与您的其他服务器兼容的会话 ID。

于 2013-01-08T00:33:38.657 回答