Какой смысл шифровать web.config? ASP.NET

Question

Ой, какой-то поставщик говорит моим боссам, что отсутствие шифрования web.config - большая дыра в безопасности. Это звучит как койка для меня. Я имею в виду, если кто-то скомпрометирует сервер, разве мы не облажались?

Answer 1

Как и предположил @Joelt, ASP.NET недавно столкнулась с проблемой безопасности, которая позволяла людям получать доступ к файлам в корневой сети и т. Д. Теперь эта проблема могла существовать в течение длительного времени. В качестве альтернативы, сейчас может быть секретный недостаток, о котором никто не знает, кроме некоторых летучих панков ... что означает, что мы все уязвимы прямо сейчас. Я имею в виду, что до тех пор, пока команда ASP.NET (и сотрудники службы безопасности за неделю или две до них) не объявили об этом предыдущем недостатке ... как долго это было в дикой природе? Сколько людей этим воспользовались?

Итак, это общая идея. Если по какой-то причине существует недостаток - когда люди могут удаленно получить доступ к файлам - включая web.config - тогда ваши данные могут быть известны.

Теперь - это кикер. Итак ... кто-то может узнать о моем имени БД, ip addy БД и пароле БД .. верно? но им нужно получить доступ к моей внутренней БД ... так что удачи там. НО, в моем web.config может быть мой пароль для твиттера? ( Ding! Свет только что включился ). Мои сторонние api логин / пароли. и т.д.

Именно в этом и заключается проблема безопасности, ИМО.

Я бы ненавидел это, если бы вы узнали имя пользователя и пароль в твиттере моей компании, а затем начали бы портить нашу учетную запись в твиттере.

Answer 2

Шифрование не означает, что вы защищены. Закрытый ключ, необходимый для расшифровки, хранится на сервере, поэтому, если ваш сервер скомпрометирован, ваш web.config может быть расшифрован.

Мы только шифруем раздел строки подключения файла web.config. Это помогает предотвратить легкий доступ других любопытных глаз к нашим строкам подключения, особенно в среде разработки (, которая часто намного менее безопасна, чем ваши производственные среды ).

Шифрование - это всего лишь маленький кусочек для многоуровневой защиты. Это ни в коем случае не универсальное решение для защиты вашей конфиденциальной информации.

Answer 3

Недавно в ASP.net появилась дыра в безопасности, которая позволила бы удаленному пользователю получить доступ к любому файлу в корне сети, включая web.config, без доступа ко всему серверу. Кроме того, в файле web.config может содержаться информация для входа, позволяющая скомпрометировать один сервер и скомпрометировать другой.

Answer 4

Вроде. В моем случае я размещаюсь на общем хостинге. Поэтому многие люди имеют доступ к моей учетной записи и файлам, хранящимся там.

Лично я не слишком беспокоюсь об этом. Но, если у кого-то есть разум, они могут получить доступ к этой информации. И даже если у вас есть сервер, если это компания, то может быть много людей, которые имеют к нему доступ.

Для важных данных шифрование имеет смысл.