1

我打算加密属于将在服务器场中运行的应用程序的 Web 配置文件的连接字符串。我知道使用它加密部分的 aspnet_regiis 命令行工具。但我有一些疑问,我希望你们能解决。

我的问题是,如果我加密连接字符串并且 web.config 文件被某些黑客窃取,他是否能够使用带有 -pe 开关的同一命令行对其进行解密?同样如下所示。

  1. 我的服务器,我的 Web.Config,未加密(我创建了纯 Web 配置)
  2. 我的服务器,我的 Web.config,加密 (我加密的网络配置)
  3. 某人的服务器,我的 web.config,加密(有人偷了我的 web 配置)

他是否能够使用相同的命令行解密

aspnet_regiis -pe "connectionStrings" -app "/SampleApplication" -prov "RsaProtectedConfigurationProvider"
4

1 回答 1

0

Jon Galloway 在他的博客上有一个有趣的方法来处理这种情况: http://weblogs.asp.net/jgalloway/archive/2008/04/13/encrypting-passwords-in-a-net-app-config-file。 aspx

该帖子指的是 app.config,但同样适用于 web.config。

编辑: 我想我在完全意识到你在问什么之前就回答了。如果引用的博客没有帮助,我深表歉意。

EDIT2: 针对实际问题,答案可能是。如果黑客可以访问加密密钥信息,他将能够解密您的 web.config。根据 MSDN(http://msdn.microsoft.com/en-us/library/zhhddkxy (v=vs.100).aspx ):

要解密和加密 Web.config 文件的一部分,ASP.NET 进程必须有权读取相应的加密密钥信息。

于 2014-01-21T23:59:44.287 回答