Le chiffrement de web.config est-il inutile?

Question

Je lisais un blog aujourd'hui (http://somewebguy.wordpress.com/2009/07/20/is-encrypting-your-web-config-a-waste-of-time/) à la fois sur la façon de crypter vos appsettings/connectionstrings etc. en utilisant l'outil aspnet_regiis.

Il a un post de suivi avec des commentaires d'autres personnes disant que c'est une perte de temps.

Ma question est, qu'en pensez-vous? Êtes-vous totalement bloqué dès que quelqu'un obtient un accès physique à vos fichiers web.config de toute façon? Ou est-ce une précaution valable?

Answer 1

Je ne pense pas que ce soit inutile. Si quelqu'un accède à votre serveur Web, oui vous avez beaucoup de problèmes. Est-ce que cela signifie que vous devez leur permettre d'obtenir le même accès à votre base de données/middle-tier/serveur d'applications?

Answer 2

Vous êtes seulement aussi fort que votre partie la plus faible. Toutes les mesures que vous pouvez prendre pour améliorer la sécurité sont une bonne chose, même si ce n'est pas quelque chose que je fais. Je partage le point de vue que si les gens ont accès à votre web.configs, vous avez probablement eu des problèmes plus graves à s'inquiéter.

Je m'assure toujours que tous les noms d'utilisateur/mots de passe db stockés dans ont un lecteur de données/datawriter UNIQUEMENT sur la base de données du site. Une chose que vous pouvez faire est de les faire crypter dans le cadre de votre déploiement, en utilisant un outil de construction tel que MSBuild, NAnt, Rake etc. de cette façon ce n'est pas un effort et donc plus susceptible d'être accepté par votre team