He visto algunos desarrolladores de asp.net cifrar ConnectionStrings que se incluyó en el archivo de configuración separado.
¿Por qué hicieron eso? Sé que los archivos de configuración no se pueden leer desde el lado del cliente/navegador. ¿Es posible acceder a este tipo de archivos?¿Por qué algunos desarrolladores de asp.net encriptan ConnectionStrings?
Respuesta
No se puede descartar que el buzón web esté en peligro. Además, no desea que los administradores web conozcan las contraseñas de las bases de datos.
Debe recordar que los archivos de configuración no pueden ser obtenidos por el navegador simplemente porque la extensión .config
está en la lista de restricciones en los metadatos de IIS. Es posible obtenerlos del servidor de otra manera o algún problema de configuración incorrecta puede permitir que se descarguen.
Si carga su archivo web.config con errores personalizados establecidos en "off", cualquier error producido por su aplicación web mostrará su código. Esto podría incluso incluir líneas de sus archivos de configuración y esto podría incluir las "cadenas de conexión" haciéndolas visibles para el público.
Este es un problema diferente, creo. Sus excepciones contendrán la cadena de conexión completa en texto sin formato, incluso si la sección de configuración está encriptada. –
+1 Muy buen punto Zishan –
Se puede acceder por personal de mantenimiento, operadores de copia de seguridad u otros que tienen acceso al disco sin pasar por el sitio web. Ese es un ejemplo.
Para todas las organizaciones que lo más importante para ellos es sus datos
- Esto se hace cuando hay múltiples desarrolladores que trabajan en la misma aplicación
- A veces, los nuevos desarrolladores también están inscritos en el equipo. La exposición de cada & todos los aspectos de su base de datos, sistema, nombre de usuario, nombre de la máquina no es un buen enfoque
- hay posibilidad de fuga de información en la producción, las pruebas Q/A de fase, etc.
- Esto viene muy útil cuando hay un robo de código dentro de una organización, permite que sus datos estén seguros de una intrusión externa ya que las cadenas de conexión fueron encriptadas
- ¿Puede usted arriesgarse si alguien tiene acceso a su base de datos & realizar una caída de tabla/esquema o eliminar todo de su ¿mesas? MSDN: How to secure connection strings when using a datasource
- 1. ¿Por qué algunos desarrolladores declaran objetos String en sus interfaces en Java y cómo funciona?
- 2. C# Configuration Manager. ConnectionStrings
- 3. ¿Por qué los desarrolladores de PHP son más baratos que los desarrolladores de .NET?
- 4. Powershell regex para connectionStrings?
- 5. ¿Por qué algunos sitios web requieren "www"?
- 6. ¿Por qué == verdadero para algunos objetos enteros?
- 7. ¿Por qué @ Html.Label() elimina algunos caracteres
- 8. prácticas recomendadas de javascript para los desarrolladores de asp.net mvc
- 9. web.config y comillas en connectionStrings
- 10. ¿Por qué magento no proporciona Guía o Manual para desarrolladores?
- 11. Devolver algunos campos de ASP.NET Web API
- 12. ASP.net ViewState: incluso cuando está deshabilitado, existen algunos viewstate. ¿Por qué?
- 13. Lea el elemento connectionStrings de su app.config
- 14. ASP.NET MVC> ASP.NET WebForms, ¿Por qué?
- 15. Consejos de ASP.NET MVC y lecciones para desarrolladores de WebForms de ASP.NET
- 16. ¿Realmente los desarrolladores de ASP.NET deben preocuparse por la seguridad de los hilos?
- 17. ¿Qué significan algunos de los campos devueltos por ActiveMQ.Agent query?
- 18. ¿Por qué Ruby/[[: punct:]]/pierde algunos caracteres de puntuación?
- 19. Django: ¿Por qué algunos campos de modelos chocan entre sí?
- 20. ¿Por qué algunos proveedores de API requieren una clave API?
- 21. ASP.NET vs SharePoint: ¿cuál es mejor para los desarrolladores web?
- 22. ASP.NET MVC para desarrolladores de Ruby on Rails?
- 23. ¿Cuál es el mejor editor HTML WYSISYG disponible para desarrolladores web y por qué?
- 24. ¿Por qué poner javascript en asp.net?
- 25. ¿Por qué algunos hash se inicializan con llaves y algunos con paréntesis?
- 26. ¿Por qué faltarían algunos datos POST al usar Uploadify?
- 27. ¿Por qué podría Log4net entradas van "perdido" en algunos oyentes
- 28. ¿Por qué algunos objetos no son accesibles desde diferentes subprocesos?
- 29. En psql, ¿por qué algunos comandos no tienen ningún efecto?
- 30. ¿Por qué algunos sitios web no son compatibles con iPad?
Puede cifrar _any_ secciones de configuración. No tiene que estar en un archivo de configuración separado. – Oded
Lo sé, pero dije eso para ser claro. – dotfreelancer