Почему нельзя сохранять пароли внутри настроек приложения. json в ASP. NET Core? - PullRequest
Новая
       37

Почему нельзя сохранять пароли внутри настроек приложения. json в ASP. NET Core?

2 голосов
/ 22 января 2020

В официальной документации перечислены следующие методы настройки приложений. json:

  • Никогда не храните пароли или другие конфиденциальные данные в коде поставщика конфигурации или в текстовых файлах конфигурации.
  • Не используйте производственные секреты в средах разработки или тестирования.
  • Укажите секреты вне проекта, чтобы они не могли быть случайно переданы репозиторий исходного кода.

Насколько я знаю, настройки приложения. json не обслуживается, когда вы размещаете приложение в IIS, и, следовательно, недоступен из Интернета. Мы также сами размещаем исходный код (т.е. на наших собственных серверах). Итак, насколько я могу судить, единственная реальная опасность состоит в том, что кому-то удается взломать всю систему и получить реальный доступ к настройкам приложения. json.

Но существуют ли другие причины для сохранения конфиденциальных данных вне из appsettings. json? Есть ли другие аспекты безопасности, которые я упускаю из виду?

Я знаю, что есть несколько вопросов, задающих как сохранить настройки приложения. json в безопасности, но не фактические риски.

1 Ответ

2 голосов
/ 22 января 2020

Есть много причин, но главная из них вы уже упомянули:

  • обычно гораздо, намного проще получить доступ к исходному коду, чем к хорошо охраняемым секретам ( например, Azure Хранилище)
  • гораздо легче утечь секреты, возможно случайно (через журналы, или кто-то смотрит через плечо, или кто-то с доступом к серверу CI)
  • вы выиграли * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *..... c секреты для определенных c лично
  • лично мне также не нравится иметь конкретно серийные секреты рядом с моей установкой разработки. Если я запускаю код как разработчик, я хочу быть на 100% уверенным, что никогда не буду случайно работать в производственной среде («упс, я протестировал эту функцию массового удаления ... против производства»). Если секреты продукта просто отсутствуют , то нет никакой ошибки, чтобы сделать
  • и, возможно, еще много причин ...

В основном, ограничение площади поверхности для Ошибки и утечки безопасности ограничат вероятность возникновения проблемы, даже если в настоящее время не имеет разумного сочетания факторов, из-за которых произошла бы ошибка или утечка.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...