Wir veröffentlichen eine serverseitige Anwendung auf unserer Kunden-Workstation, und die Sicherheitsleute des Kunden sind besorgt über die Sicherheit der Konfigurationsverbindungszeichenfolgen.Serverseitige Anwendungskonfigurationssicherheit. Best Practices
Verbindungsstrings werden jetzt als Nur-Text gespeichert, aber da die Konfigurationsdatei nicht im öffentlichen/freigegebenen Ordner liegt, haben wir angenommen, dass die Workstation-Sicherheit selbst ausreicht.
Welche Möglichkeiten gibt es, die Sicherheit der Verbindungszeichenfolgen zu verbessern?
Es ist ein großer Schritt vorwärts, das Passwort zu verschlüsseln und einen Entschlüsselungsschlüssel auf der gleichen Workstation zu behalten? Welche Schritte können wir unternehmen, um Verbindungszeichenfolgen (und ähnliche) Informationen immer sicherer zu machen?
Vielen Dank im Voraus!
Vielen Dank für die refference aber ich frage mich, ob die Verschlüsselung wirklich Sicherheit erhöht? Da der Entschlüsselungsschlüssel in machine.config gespeichert ist, kostet es nichts, app.config/web.config mit machine.config für einen Hacker zu übernehmen und verschlüsselte Konfigurationsabschnitte zu dekodieren. Ist der Zugriff auf machine.config aus irgendeinem Grund eingeschränkter als app.config access? –
Wenn Ihre Anwendung unter Identität mit eingeschränkten Rechten ausgeführt wird (oder sagen wir "richtig konfiguriert"), dann hat dieser Benutzer keine Berechtigung, root machine.config zu lesen (dh, die Nutzung Ihrer App ist nutzlos). Natürlich kann ein Benutzer mit Administratorrechten beide Dateien stehlen –