【发布时间】:2011-08-23 10:30:24
【问题描述】:
据我所知,web.config 文件中的任何部分都可以使用 aspnet_regiis.exe 进行加密和解密。
如果 aspnet_regiis 可以用来解密 web.config 文件,那么加密它有什么意义呢?是否只是为了防止密码和敏感信息以纯文本形式存储?如果有文件和 exe 的任何人都可以解密它,它真的可以保护敏感的配置信息吗?
更新
感谢所有回答有关机器密钥的人。我问这个问题的原因是因为我们在 codeplex.com 上托管了一个开源项目。但是,我们也将此项目部署到 Windows Azure。我正在尝试找到一种最佳方法来使敏感密码不受源代码控制,但在我部署到 Azure 时将它们作为我项目的一部分保持可访问性。
目前,我正在使用 Web 配置转换来存储 Azure 连接字符串(以及 system.net 的 Gmail 密码)。我创建了一个 Web.PublishToAzure.config 转换文件,只是将该文件置于源代码控制之外。我还找到了this article,这可能是一个更好的选择。再次感谢。
【问题讨论】:
-
“这篇文章”的链接不存在。如果可能的话,我真的很想看看。谢谢。
标签: asp.net web-config passwords encryption