网站的 web.config 加密

【问题标题】:web.config encryption for web sites网站的 web.config 加密
【发布时间】:2013-06-19 10:58:36
【问题描述】:

我已经找到了有关如何使用自定义提供程序和 Web 角色证书加密 web.config 以保护连接字符串和其他设置的信息。

这也适用于网站吗?如果不是,我如何保护我的网站连接字符串?我知道我可以在 azure 门户中管理连接字符串,但这些也以明文形式存储。因此,如果有人获得了对 web.config 或 azure 管理的访问权限,他将能够读取所有数据。

另见:

http://www.heikniemi.net/hardcoded/2013/06/encrypting-connection-strings-in-windows-azure-web-applications/comment-page-1/#comment-173488

http://blogs.msdn.com/b/sqlazure/archive/2010/09/10/10060395.aspx

【问题讨论】:

  • 我希望将 web.config 加密(尤其是对于连接字符串等敏感信息)内置到 ASP.NET 中,而不是通过铁环进行设置。

标签: azure web-config connection-string


【解决方案1】:

在与网站关联的 Azure 配置信息中存储键值字符串对(连接字符串和其他机密)。然后,这些敏感信息永远不会在 web.config 中显示为明文

http://azure.microsoft.com/blog/2013/07/17/windows-azure-web-sites-how-application-strings-and-connection-strings-work/

这应该足够安全 - 如果 azure 管理员凭据被泄露,您将丢失所有内容,而不仅仅是连接字符串 - 攻击者可以简单地使用网站远程调试来获取任何通过程序执行的信息,即使您有加密方法/解密连接字符串。

-西蒙。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2016-09-03
    • 2010-11-07
    • 1970-01-01
    • 2014-10-26
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode