¿Dónde debería almacenar variables sensibles?

Question

Esta es la primera vez que trabajo en un sitio web seguro. Es para un proyecto de mascota que tengo.

Por razones de seguridad, ¿dónde es mejor almacenar información como cadenas de conexión SQL, claves de cifrado de bases de datos, etc.? ¿Es mejor usar web.config, almacenarlos en una clase que accede a una base de datos (como dataBaseHelper.cs o algo así), o en otro lugar?

Tengo la intención de obtener un certificado SSL también. Cuando me comunico con la base de datos, ¿debería usar siempre la conexión segura?

Answer 1

Encontré un artículo que ayudará a resolver el problema de si esto se puede hacer o no en un servidor que aloja mi sitio. Simplemente busqué en Google en función de las respuestas que dieron arriba. Funcionó bastante bien.

http://sharpertutorials.com/webconfig-encryption/

Gracias por la ayuda y dirección.

Answer 2

Consulte la sección Encrypting sections of config files en MSDN.

Answer 3

Dependiendo de la aplicación, generalmente es mejor práctica usar un KMS para almacenar claves de cifrado. Si un KMS no está disponible debido a restricciones presupuestarias o lo que sea, los contenedores clave son la siguiente mejor opción. Una vez que su clave está protegida, puede almacenar variables en secciones cifradas del archivo de configuración según lo sugerido o como matrices de bytes cifrados en el ensamblaje mismo.