6

我已经找到了有关如何使用自定义提供程序和 Web 角色证书加密 web.config 的信息,以保护连接字符串和其他设置。

网站也可以这样做吗?如果不是,我如何保护我的网站连接字符串?我知道我可以在 azure 门户中管理连接字符串,但这些也以明文形式存储。因此,如果有人获得对 web.config 或 azure 管理的访问权限,他将能够读取所有数据。

另见:

http://www.heikniemi.net/hardcoded/2013/06/encrypting-connection-strings-in-windows-azure-web-applications/comment-page-1/#comment-173488

http://blogs.msdn.com/b/sqlazure/archive/2010/09/10/10060395.aspx

4

1 回答 1

3

在与网站关联的 Azure 配置信息中存储键值字符串对(连接字符串和其他机密)。然后,此敏感信息永远不会在 web.config 中显示为明文

http://azure.microsoft.com/blog/2013/07/17/windows-azure-web-sites-how-application-strings-and-connection-strings-work/

这应该足够安全 - 如果 azure 管理员凭据被泄露,您会丢失所有内容,而不仅仅是连接字符串 - 攻击者可以简单地使用网站远程调试来获取任何信息,即使您有加密/解密连接的方法字符串。

-西蒙。

于 2014-07-26T18:49:52.280 回答