Должен ли я шифровать web.config на общем хостинге?

Добрый день. Я вынул некоторый .net-хостинг с веб-слиянием, но борется за ответы на их настройку безопасности.

В частности, я привык к полноправным окружениям, так как я работаю для крупной коммунальной компании.

Обычно я зашифровывал некоторые/все мои web.config, это я не могу сделать в среде с поддержкой среды IIS7 и не позволяю мне конкретно устанавливать ключ RSA для моего приложения.

Итак, мой файл конфигурации действительно безопасен? У меня есть страх перед тем, что кто-то украл все мои конфиденциальные данные из моей базы данных, используя незашифрованную строку соединения?

2 ответа

Вы находитесь под серьезным делом, думающим, что шифрование web.config помогает. В основном вы боитесь, что кто-то ворвался в вашу учетную запись, и если я могу заменить ваше веб-приложение, то факт, что строка соединения зашифрована, не имеет смысла, поскольку я все равно должен иметь доступ к ключу дешифрования.

Таким образом, я могу при любых обстоятельствах всегда обращаться к базе данных.


Если вы используете общий хостинг, существует неявное доверие между вами и хостинг-провайдером. Они являются администраторами системы, и они контролируют инфраструктуру и системы, на которых размещено ваше приложение. Если безопасность вашего программного обеспечения и данных такова, что вы не хотите разрешать третьим лицам доступ к ним, вам необходимо либо получить выделенный сервер, либо виртуальный сервер. Таким образом, вы контролируете систему от защитника, а их системные администраторы не могут получить доступ к вашим данным, если они все зашифрованы. Приобретение файла конфигурации на общем хостинге практически бесполезно.

licensed under cc by-sa 3.0 with attribution.