服务器端应用程序配置安全。最佳实践

【问题标题】:Server-side application configuration security. Best practices服务器端应用程序配置安全。最佳实践
【发布时间】:2011-06-08 09:25:30
【问题描述】:

我们将服务器端应用程序发布到我们的客户工作站,客户的安全人员担心配置连接字符串的安全性。

连接字符串现在存储为纯文本,但由于配置文件不在公共/共享文件夹中,我们认为工作站安全本身就足够了。

有哪些方法可以进一步提高连接字符串的安全性?

在同一个工作站上加密密码和保存解密密钥是向前迈出的一大步吗?我们可以采取哪些步骤来保持连接字符串(和类似的)信息越来越安全?

提前感谢您!

【问题讨论】:

    标签: .net security configuration


    【解决方案1】:

    首先,为什么需要保护连接字符串?如果您在那里存储用户凭据,那么使用“集成安全性”(如果可能的话)可能会更好..?此外,您可以在数据库级别限制用户权限。

    但如果您确定确实需要在配置中加密某些内容,那么check this

    【讨论】:

    • 感谢您的参考,但我想知道加密是否真的提高了安全性?由于解密密钥存储在 machine.config 中,因此黑客将 app.config/web.config 与 machine.config 一起使用并解码加密的配置部分无需任何费用。 machine.config 访问是否由于某种原因比 app.config 访问更受限制?
    • 如果您的应用程序在具有受限权限的身份下运行(或者可以说“正确配置”),那么该用户将无权读取 root machine.config(即,利用您的应用程序是无用的)。当然,具有管理员权限的用户可以窃取这两个文件
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2010-12-21
    • 1970-01-01
    • 1970-01-01
    • 2011-11-28
    • 2018-03-06
    • 1970-01-01
    • 2012-09-13
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode