【问题标题】:What is the security impact of not generating a unique key for each application?不为每个应用程序生成唯一密钥的安全影响是什么?
【发布时间】:2013-01-07 22:44:26
【问题描述】:

我在硬件负载平衡器后面有 Server 2008 R2 / IIS 7.5 Web 服务器。为了使负载平衡正常工作,我必须在服务器之间指定一个公共 IIS 机器密钥,并禁用“为每个应用程序生成唯一密钥”的选项以用于验证和解密密钥(也使用会话状态服务器,但现在没关系)。

IIS GUI 的机器密钥部分说“为了提高应用程序之间的安全性,为每个应用程序生成一个唯一的密钥”。如果我不“为每个应用程序生成唯一密钥”,会有什么安全风险?

【问题讨论】:

    标签: iis iis-7.5 security load-balancing


    【解决方案1】:

    如果一台机器的密钥被泄露,这意味着攻击者可以使用相同的密钥来解密来自共享该密钥的其他机器的通信。考虑与多人共享密码时的风险。

    攻击者还能够预测会话 ID 或创建与您的其他服务器兼容的会话 ID。

    【讨论】:

    • 我了解通用机器密钥 - 这对于网络农场方案是必要的,但我询问的是每个应用程序的唯一密钥。
    猜你喜欢
    • 1970-01-01
    • 2019-04-08
    • 2016-05-20
    • 1970-01-01
    • 1970-01-01
    • 2010-09-08
    • 2023-04-04
    • 2013-04-20
    • 2018-01-31
    相关资源
    最近更新 更多