Options de chiffrement ASP ou ASP.NET classiques

Question

Je travaille sur un site Web où les nouvelles pages sont ASP.NET et les anciennes pages sont ASP classiques. Étant nouveau pour le développement dans l'environnement Windows, j'ai étudié la dernière technologie, c'est-à-dire .NET et je deviens comme un cerf dans les phares lorsque des problèmes hérités surgissent concernant les objets COM.

La sécurité sur le site Web est une abomination, mais j'ai facilement crypté le connectionStrings dans le fichier web.config par http://www.4guysfromrolla.com/articles/021506-1.aspx basé sur le mode machine DPAPI. Je comprends que cette approche n'est pas la plus sécurisée, mais c'est mieux que rien qui soit ce que c'était pour les pages ASP.NET. Maintenant, je me demande comment faire un cryptage similaire pour les chaînes de connexion utilisées par les pages ASP classiques.

Un facteur de complication est que le site Web est hébergé là où je n'ai pas d'autorisations d'administration ou même d'accès en ligne de commande, juste FTP. De plus je veux éviter de gérer la clé.

Ma recherche a trouvé:

1. DPAPI avec COM Interop. On dirait que cela devrait déjà être disponible, mais la seule chose que j'ai pu trouver à discuter est CyptoUtility (voir http://msdn.microsoft.com/en-us/magazine/cc163884.aspx) qui n'est pas installé sur le serveur d'hébergement.

2. Il existe de nombreux autres objets COM tiers, par ex. Crypto de Dalun Software http://www.dalun.com, mais ils ne sont pas non plus sur le serveur hébergé, et ils me demandent de vous demander de faire une sorte de gestion des clés. Il y a CAPICOM sur le serveur hébergé, mais M $ l'a déprécié et beaucoup rapportent qu'il n'est pas le plus facile à utiliser. Il n'est pas clair pour moi si je peux éviter la gestion de clés avec CAPICOM similaire à l'utilisation de DPAPI pour ASP.NET. Si quelqu'un vient à savoir, s'il vous plaît indiquez moi.

3. Je pourrais écrire un service Web dans ASP.NET et les pages ASP classiques l'utiliser pour obtenir les chaînes de connexion décryptées, puis les stocker dans une variable d'application. Je n'aurais pas besoin d'utiliser SSL car je pourrais utiliser localhost et rien ne serait envoyé sur internet. Dans la forme la plus simple, je pouvais implémenter ce que quelqu'un appelait une version pauvre basée sur un simple flux XML, cependant, je cherchais vraiment à éviter tout développement car j'ai du mal à croire qu'il n'y ait pas de solution simple pour ASP classique. pour ASP.NET.

Peut-être que je manque quelques options ... Des recommandations sont demandées ...

Answer 1

Le lien suivant deux fichiers asp classiques qui peuvent être utilisés pour générer des signatures MD5 d'une chaîne, qui peut être utilisé pour chiffrer une chaîne de connexion. Vous pouvez stocker la chaîne de connexion cryptée dans le fichier global.asa pour plus de sécurité.

http://www.freevbcode.com/ShowCode.asp?ID=2366