web.config で接続文字列を暗号化するのはなぜですか? 私が間違っていなければ、IIS は web.config を提供しません。誰かがサーバーにハッキングして web.config を取得できる場合、それは既に GG です。web.config で何かを暗号化する理由はありますか? 不要じゃないですか?
質問する
317 次
2 に答える
5
Web ボックスが危険にさらされている可能性を排除することはできません。これは、データベースも危険にさらされているという意味ではありません。また、Web 管理者にデータベースへのパスワードを知られたくありません。
.config拡張子が IIS メタデータの制限リストに含まれているという理由だけで、ブラウザーで構成ファイルを取得できないことを覚えておく必要があります。他の方法でサーバーからそれらを取得できる可能性があります。または、構成ミスの問題により、それらがダウンロードされる可能性があります。
于 2013-07-09T14:50:53.223 に答える
1
それは組織の問題/コンプライアンスだと思います。
たとえば、「本番」チーム/「ライブ」データにアクセスできる昇格した地位にある場合がありますが、開発者はアプリケーションを介して読み取り専用アクセス権を持っている可能性があり、ユーザー名/パスワードを持っていない方がよいでしょう - したがって、接続文字列を暗号化します。
または、不満/思慮のない開発者がweb.configをmates / home / hotmailに電子メールで送信する必要があります。これは、データベースにアクセスするためのユーザー名/パスワードを取得できなかったことを意味します.
最終的には、セキュリティのもう 1 つのレイヤーにすぎません。フロント ドアをロックするときに、ドライブにゲートを設ける必要はありません。(もちろん、ゲート付きのドライブがあれば!)
于 2013-07-09T14:53:39.787 に答える