3

Web ファームで asp.net フォーム認証を使用するシナリオがあり、<machinekey />各サーバーの .config ファイルで同一のセクションをセットアップする必要があります。

<machinekey />セクションを web.config ではなく machine.configに保存したほうがよいですか? セキュリティに関する各アプローチの長所と短所は何ですか?

<machineKey validationKey="[keyhere]"
    decryptionKey="[keyhere]" validation="SHA1" />

十分に安全でない場合、<machinekey />接続文字列を (DPAPI で) 暗号化するように、セクションを暗号化する方法はありますか? ( http://msdn.microsoft.com/en-us/library/ms998280.aspx )

よろしくマグナス

4

1 に答える 1

2

これを行っていることを明確にするために、web.configに入れます。また、アプリケーション間のセキュリティを強化する必要がある場合は、アプリケーションごとに異なるキーを使用する追加機能も提供します (必要ではないかもしれませんが、web.config に残されている場合はオプションです)。

どちらの方法でも、安全性が低い/高いとは思いません。サーバーが十分に侵害されて web.config が盗まれる場合、同じことが machine.config にも当てはまります。

まだ行っていませんが、DPAPI を使用して machineKey セクションを暗号化できると思います。それについては100%ではありませんが...

http://msdn.microsoft.com/en-us/library/ms998280.aspx#paght000005_step1

于 2010-03-02T19:59:08.197 に答える