为什么要加密 web.config 中的连接字符串?如果我没记错的话,IIS 不提供 web.config 服务,并且如果有人能够侵入您的服务器以获取 web.config,那么它已经是 GG 了。有什么理由加密 web.config 中的任何内容吗?这不是不必要的吗?
问问题
317 次
2 回答
5
您不能排除网络盒受到损害 - 这不应该意味着您的数据库也受到损害。此外,您不希望网络管理员知道数据库的密码。
您需要记住,浏览器无法获取配置文件,因为.config扩展名在 IIS 元数据的限制列表中。可以通过其他方式从服务器获取它们,或者某些错误配置问题可能允许下载它们。
于 2013-07-09T14:50:53.223 回答
1
我认为这更多是组织问题/合规性。
例如,您可能有一个“生产”团队/提升的职位可以访问“实时”数据,而开发人员可能通过应用程序具有只读访问权限,而您宁愿他们没有用户名/密码 - ergo ,加密连接字符串。
或者应该心怀不满/粗心大意的开发人员通过电子邮件将 web.config 发送到 mates/home/hotmail,这意味着所有人都无法获得用户名/密码来访问数据库。
归根结底,这只是另一层安全措施 - 为什么要在您锁上前门时为您的驱动器设置大门?(当然,如果您有带门的驱动器!)
于 2013-07-09T14:53:39.787 回答