2

インターネット上の IIS Web サーバーと、IIS が VPN リンクを介してアクセスするデータベース サーバーで構成される Web アプリケーションがあります。

私たちが抱えている問題は、接続文字列をどこかに保存する必要があることです (これは明らかにデータベースにはありません)。

aspnet_regiis を使用して web.config 接続文字列を暗号化できることに注意してください。

https://msdn.microsoft.com/en-us/library/dx0f3cf2%28v=vs.85%29.aspx

これがどれほど堅牢であるかについて、誰でもコメントできますか。私たちが望んでいないのは、データベースがインターネットからハッキングされることです。

私が懸念していることの 1 つは、aspnet_regiis が復号化と暗号化に使用され、マシン自体にインストールされていることです。したがって、マシンが侵害され、この exe がそこにあった場合、パスワードを発見することはそれほど難しくありません。

したがって、パスワードを保護するこの方法が推奨されないと仮定すると、他にどのようなオプションがありますか?

関連する場合は、IIS が IIS APPPOOL\DefaultAppPool アカウントのコンテキストで実行されていることに注意してください。

ありがとう。

4

2 に答える 2

0

インターネットからのハッキングを防ぐために、構成ファイルを暗号化しません。IIS は *.config ファイルを提供しません。構成ファイルを暗号化して、その中の情報をサーバー管理者から隠します。

リモートの攻撃者がサーバーにアクセスし、任意の実行可能ファイルを実行できる場合、すべての賭けは無効になります。その後、サーバーを保護するためにできることは何もありません。

サーバーがリモートでアクセスされないようにする方法は広すぎて答えられません。一般的なヒントについてはOWASPを確認してください。

于 2015-08-04T13:31:05.503 に答える