Должен ли я шифровать web.config на виртуальном хостинге?

Question

Добрый день всем. Я взял несколько хостов .net с веб-фьюжн, но пытаюсь получить ответы об их настройке безопасности.

В частности, я привык доверять окружающей среде, так как работаю в крупной коммунальной компании.

Обычно я шифрую некоторые / все файлы web.config, чего я не могу сделать в среде IIS7 со средним уровнем доверия, и при этом они не позволяют мне устанавливать ключ RSA специально для моего приложения.

Так действительно ли мой конфигурационный файл настолько безопасен? У меня есть опасения, что кто-то украдет все мои конфиденциальные данные из моей базы данных, используя незашифрованную строку соединения?

Answer 1

Вы находитесь в серьезном затруднительном положении, думая, что шифрование web.config помогает. Чего вы больше всего боитесь, так это того, что кто-то взломает вашу учетную запись, и если я смогу заменить ваше веб-приложение, то факт, что строка подключения зашифрована, является бессмысленным, поскольку у меня все равно должен быть доступ к ключу расшифровки.

Таким образом, я могу при любых обстоятельствах всегда иметь доступ к базе данных в любом случае.

Answer 2

Если вы используете виртуальный хостинг, то между вами и хостинг-провайдером существует неявное доверие.Они являются системными администраторами и контролируют инфраструктуру и системы, в которых размещается ваше приложение.Если безопасность вашего программного обеспечения и данных такова, что вы не хотите, чтобы третьи лица имели к ним доступ, вам необходимо либо получить выделенный сервер, либо виртуальный сервер.Таким образом, вы контролируете систему с точки зрения безопасности, и их системные администраторы не могут получить доступ к вашим данным, если они все зашифрованы.Расшифровка файла конфигурации на виртуальном хостинге практически бесполезна.