He visto algunos desarrolladores de asp.net cifrar ConnectionStrings que se incluyó en el archivo de configuración separado.
¿Por qué hicieron eso? Sé que los archivos de configuración no se pueden leer desde el lado del cliente/navegador. ¿Es posible acceder a este tipo de archivos?¿Por qué algunos desarrolladores de asp.net encriptan ConnectionStrings?
No se puede descartar que el buzón web esté en peligro. Además, no desea que los administradores web conozcan las contraseñas de las bases de datos.
Debe recordar que los archivos de configuración no pueden ser obtenidos por el navegador simplemente porque la extensión .config está en la lista de restricciones en los metadatos de IIS. Es posible obtenerlos del servidor de otra manera o algún problema de configuración incorrecta puede permitir que se descarguen.
Si carga su archivo web.config con errores personalizados establecidos en "off", cualquier error producido por su aplicación web mostrará su código. Esto podría incluso incluir líneas de sus archivos de configuración y esto podría incluir las "cadenas de conexión" haciéndolas visibles para el público.
Este es un problema diferente, creo. Sus excepciones contendrán la cadena de conexión completa en texto sin formato, incluso si la sección de configuración está encriptada. –
+1 Muy buen punto Zishan –
Se puede acceder por personal de mantenimiento, operadores de copia de seguridad u otros que tienen acceso al disco sin pasar por el sitio web. Ese es un ejemplo.
Para todas las organizaciones que lo más importante para ellos es sus datos
Puede cifrar _any_ secciones de configuración. No tiene que estar en un archivo de configuración separado. – Oded
Lo sé, pero dije eso para ser claro. – dotfreelancer