Является ли шифрование web.config бессмысленным?

Question

Сегодня я читал блог (http://somewebguy.wordpress.com/2009/07/20/is-encrypting-your-web-config-a-waste-of-time/) о том, как зашифровать настройки / строки подключения и т. Д. С помощью инструмента aspnet_regiis.

У него есть пост с комментариями других, которые говорят, что это пустая трата времени.

Мой вопрос: что вы думаете? Вы все равно будете в безопасности, как только кто-нибудь получит физический доступ к вашим файлам web.config? Или это стоит мер предосторожности?

Answer 1

Я не думаю, что это бессмысленно. Если кто-то получает доступ к вашему веб-серверу, да, у вас много проблем. Означает ли это, что вам нужно разрешить им получать такой же доступ к вашей базе данных / промежуточному уровню / серверу приложений?

Answer 2

Вы только сильны, как ваша самая слабая часть. Любые меры, которые вы можете предпринять для улучшения безопасности, - это хорошо, хотя я этим не занимаюсь.

Я разделяю мнение о том, что если у людей есть доступ к вашим файлам web.configs, у вас, вероятно, возникнут и более серьезные проблемы.

Я всегда проверяю, чтобы в именах пользователей / паролях, хранящихся в БД, имелся ТОЛЬКО в базе данных сайта datareader / datawriter.

Одна вещь, которую вы можете сделать, это зашифровать их как часть вашего развертывания, используя инструмент сборки, такой как MSBuild, NAnt, Rake и т. Д. Таким образом, это не так уж много усилий и, следовательно, с большей вероятностью будет принято вашей командой