Как защитить строку подключения в web.config?

Question

У меня есть сайт, готовый к запуску.Мне интересно, что я должен делать со строкой соединения в web.config.Должен ли я запутать это и так, как?

Спасибо!

Answer 1

Стандартный метод - зашифровать его. http://ondotnet.com/pub/a/dotnet/2005/02/15/encryptingconnstring.html

Однако другой хороший вариант - сохранить его в реестре и установить разрешения, чтобы к нему мог иметь доступ только среда выполнения asp.net.

См. Эту статью: http://msdn.microsoft.com/en-us/library/ff649224.aspx и этот КБ: http://support.microsoft.com/kb/821616

Хотя я должен сказать, что использование реестра, как правило, усложняет развертывание и использование текстовых / промежуточных серверов. Мы сделали это ... РАЗ, а затем вернулись к шифрованию.

Answer 2

Вы можете зашифровать раздел <connectionStrings> в своем файле web.config - см. Как: зашифровать разделы конфигурации в ASP.NET 2.0 с помощью DPAPI

Answer 3

Вот пример для того же самого; http://whatilearnttuday.blogspot.in/2012/02/use-of-configurationproviders-to.html

Answer 4

Вы можете просто зашифровать весь файл web.config:

См. Шаги здесь:

http://www.proworks.com/blog/archive/encrypting-your-webconfig/

Answer 5

Поскольку вы не предоставили никакой информации об этом в своем вопросе, я предполагаю, что у вас есть учетные данные в строке подключения.

С точки зрения безопасности вам следует избегать этого, по возможности использовать проверку подлинности Windows. Очевидно, что для этого требуется, чтобы у вас был доступ к среде Active Directory, и в ней были развернуты все серверы.

Если нет, всегда лучше заблокировать веб-сервер, чем пытаться убедиться, что файлы на диске защищены от подделки различными пользователями.

Если даже это невозможно, я бы следовал подходу, данному в других ответах, зашифровывая конфиденциальный контент с помощью DPAPI.