我在硬件负载平衡器后面有 Server 2008 R2 / IIS 7.5 Web 服务器。为了使负载平衡正常工作,我必须在服务器之间指定一个公共 IIS 机器密钥,并禁用“为每个应用程序生成唯一密钥”的选项以用于验证和解密密钥(也使用会话状态服务器,但现在没关系)。
IIS GUI 的机器密钥部分说“为了提高应用程序之间的安全性,为每个应用程序生成一个唯一的密钥。” 如果我不“为每个应用程序生成唯一密钥”,安全风险是什么?
我在硬件负载平衡器后面有 Server 2008 R2 / IIS 7.5 Web 服务器。为了使负载平衡正常工作,我必须在服务器之间指定一个公共 IIS 机器密钥,并禁用“为每个应用程序生成唯一密钥”的选项以用于验证和解密密钥(也使用会话状态服务器,但现在没关系)。
IIS GUI 的机器密钥部分说“为了提高应用程序之间的安全性,为每个应用程序生成一个唯一的密钥。” 如果我不“为每个应用程序生成唯一密钥”,安全风险是什么?