ASP.NET web.config 加密安全

【问题标题】:ASP.NET web.config encryption securityASP.NET web.config 加密安全
【发布时间】:2014-01-21 23:42:59
【问题描述】:

我打算加密属于将在服务器场中运行的应用程序的 Web 配置文件的连接字符串。我知道使用它加密部分的 aspnet_regiis 命令行工具。但我有一些疑问,希望你们能解决。

我的问题是,如果我加密连接字符串并且 web.config 文件被某些黑客窃取,他是否能够使用带有 -pe 开关的同一命令行对其进行解密?下图也一样。

  1. 我的服务器,我的 Web.Config,未加密(我创建了纯 Web 配置)
  2. 我的服务器,我的 Web.config,已加密(我已加密 Web 配置)
  3. 某人的服务器,我的 web.config,加密(有人偷了我的 web 配置)

他是否能够使用相同的命令行进行解密,例如

aspnet_regiis -pe "connectionStrings" -app "/SampleApplication" -prov "RsaProtectedConfigurationProvider"

【问题讨论】:

    标签: asp.net security encryption iis-7 web.config-transform


    【解决方案1】:

    Jon Galloway 在他的博客上有一个有趣的方法来处理这种情况: http://weblogs.asp.net/jgalloway/archive/2008/04/13/encrypting-passwords-in-a-net-app-config-file.aspx

    帖子指的是 app.config,但同样适用于 web.config。

    编辑: 我想我在完全意识到你在问什么之前就回答了。如果引用的博客没有帮助,我深表歉意。

    EDIT2: 在回答实际问题时,答案是可能的。如果黑客可以访问加密密钥信息,他将能够解密您的 web.config。根据 MSDN (http://msdn.microsoft.com/en-us/library/zhhddkxy(v=vs.100).aspx):

    要解密和加密 Web.config 文件的一部分,ASP.NET 进程必须有权读取相应的加密密钥信息。

    【讨论】:

    • 嗨配音,感谢您的帮助。但我不认为这篇文章能满足我的要求。实际上,我正在寻找一种关于如果我使用 aspnet_regiis 命令行加密的问题的确认,如果某个随机的人窃取了知道此命令行选项的 web 配置,它是否容易被解密。你有什么想法吗?是否采取这种命令行方法来防止网络配置文件被盗的风险(最坏的情况)?
    • 查看我的第二次编辑以获取原始问题的答案。对不起跳了枪! :)
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-02-07
    • 1970-01-01
    • 2010-11-07
    • 1970-01-01
    • 2012-03-18
    • 2014-10-26
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode