Question

У меня есть общедоступный веб-сайт, который работает в IIS 7.5 под собственным пулом приложений. В файле web.config для сайта есть незашифрованная строка подключения к базе данных sql.

Лучше ли запускать пул приложений под своей собственной идентификацией, а затем использовать sql-аутентификацию в web.config для подключения к базе данных, что означало бы, что я потеряю преимущество аутентификации Kerbeos для БД.

Или я должен настроить пул приложений для запуска под собственной идентификацией, а затем использовать встроенную защиту в строке подключения, чтобы получить преимущества безопасности Windows?

Al W · Answer 1 · 23 февраля 2012

Если вы обладаете таким большим контролем над серверами, используйте аутентификацию Windows.Хотя я не могу сказать, что это «лучше», я бы подумал, что им будет легче управлять.

Nathan Rice · Answer 2 · 23 февраля 2012

Вы должны запустить пул приложений и использовать встроенную защиту, если у вас есть возможность.# 2 Это имеет преимущество, заключающееся в том, что ваши пароли не будут разглашаться, если ваш сайт взломан.Однако это не предотвратит атаки типа SQL-инъекция.

Безопасность строки подключения в web.config

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Безопасность строки подключения в web.config

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов