Безопасно ли вводить пароль в файле web.config?

Question

Насколько безопасно писать пароль в web.config asp.net-проекта следующим образом:

<mailSettings>
    <smtp from="example@web.com">
       <network host="smtp.web.com"
        port="123"
        userName="username@web.com"
        password="12345"
        enableSsl="true"/>
     </smtp>
</mailSettings>

Я не слишком знаком с интернет-безопасностью, так что если этоне безопасно, есть ли альтернативы?

Answer 1

Загляните в разделы шифрования web.config.

https://msdn.microsoft.com/en-us/library/bb986855.aspx

https://stackoverflow.com/a/6224769/461822

Что-то вроде

"aspnet_regiis.exe -pef "system.net/mailSettings/smtp" "C:\inetpub\wwwroot\website" -prov RSAProtectedConfigurationProvider"

Думайте о значении <machineKey> при развертывании на веб-ферме.

Если вы устанавливаете <machineKey> в своем файле web.config, вы в основном отдаете ключ для расшифровки.

Так что, как сказал Дэвид в комментариях выше, если вам удобно делиться секретами с людьми, которые имеют доступ к вашему коду, то это нормально.

Если нет, создайте тестовую среду SMTP, в которой вы не против поделиться своими учетными данными и поместите эти учетные данные в web.config.

Или обратитесь к инструментам типа Papercut для локального тестирования и измените значения в файле web.config непосредственно перед / после развертывания.