Почему некоторые разработчики asp.net шифруют ConnectionStrings? - PullRequest
Новая
       8

Почему некоторые разработчики asp.net шифруют ConnectionStrings?

6 голосов
/ 08 марта 2012


Я видел, как некоторые разработчики asp.net шифровали ConnectionStrings, которые были включены в отдельный файл конфигурации.
Почему они это сделали? Я знаю, что файлы конфигурации не читаются со стороны клиента / браузера! Можно ли получить доступ к файлам такого типа?

Ответы [ 4 ]

15 голосов
/ 08 марта 2012

Вы не можете исключить, что веб-окно взломано.Кроме того, вы не хотите, чтобы веб-администраторы знали пароли к базам данных.

Необходимо помнить, что файлы конфигурации не могут быть получены браузером только потому, что расширение .config находится в списке ограничений в метаданных IIS,Возможно, их можно получить с сервера другим способом или из-за неправильной конфигурации их можно будет загрузить.

4 голосов
/ 08 марта 2012

Доступ к ним может получить обслуживающий персонал, операторы резервного копирования или другие лица, которые имеют доступ к диску, не заходя на веб-сайт.Это один пример.

3 голосов
/ 08 марта 2012

Для каждой организации самое важное для них - это данные

  1. Это делается, когда несколько разработчиков работают над одним и тем же применение
  2. Иногда новые разработчики также зачисляются в команду. Раскрытие каждого и каждого аспекта вашей базы данных, системы, имени входа, имени машины никогда не является хорошим подходом
  3. Существует вероятность утечки информации при производстве, тестировании фазы Q / A и т. Д.
  4. Это очень удобно, когда в организации происходит кража кода, хотя ваши данные защищены от внешнего вмешательства, поскольку строки соединения были зашифрованы
  5. Можете ли вы нести риск, если кто-то имеет доступ к вашей базе данных и выполняет удаление таблицы / схемы или удаление всех из ваших таблиц? MSDN: как защитить строки подключения при использовании источника данных
3 голосов
/ 08 марта 2012

Если вы загрузите свой файл web.config с пользовательскими ошибками, для которых установлено значение «off», любые ошибки, вызванные вашим веб-приложением, будут отображать ваш код.Это может даже включать строки из ваших файлов конфигурации, и это может включать «ConnectionStrings», делающие их видимыми для общественности.

...