- 機密データを保護するために、web.config のセクションを暗号化できることを知っています。
- マシンキーがセクションの暗号化/復号化に使用されていることを知っています。
- 私は Web ファームでホストしていることを知っているので、私の machinekey はstickyである必要があります。
しかし、私は要点を見逃していると思います。マシン キーを web.config に配置し、暗号化されたセクションを web.config に配置すると、どのように安全になりますか? 確かにそれはせいぜい難読化ですか?
私のシナリオ:
私たちは、クラウドでホストされ、内部で開発および管理される Web アプリケーションを構築しています。機密性の高いキーを保護する必要があるのは、サードパーティ ツール (ESP、クラウド ストレージなど) の使用を許可する設定があるためです。これらが web.release.config 変換で公開されているため、開発者は製品サービスに自由に接続でき、リスクの要素が生じます。
私の論理のギャップを埋めることができれば、それは素晴らしいことです. しかし、私が本当に望んでいるのは、私の問題に対するベストプラクティスの解決策に関する提案です。
リクエストに応じてさらに情報を追加します。