哦,有些供应商告诉我的老板,不加密 web.config 是一个很大的安全漏洞。这对我来说听起来很糟糕。我的意思是,如果有人破坏了服务器,我们不是被搞砸了吗?
最佳答案
就像@Joelt 建议的那样,ASP.NET 最近有一个安全问题,它允许人们访问根 Web 等中的文件。现在,这个问题可能已经存在很长时间了。或者,现在可能有一个 secret 缺陷,除了一些利特朋克之外没人知道......这意味着我们现在都很脆弱。我的意思是,直到 ASP.NET 团队(以及在他们之前一两个星期的安全人员)宣布之前的缺陷……它在野外存在多久了?有多少人利用了它?
所以 - 这是一般的想法。如果由于某种原因存在缺陷 - 人们可以远程访问文件 - 包括 web.config - 那么你的数据可能会被知道。
现在 - 踢球的是这个。所以.. 有人可能会发现我的数据库名称、数据库 ip 地址和数据库密码.. 对吗?但他们需要访问我的内部数据库......祝你好运。但是,我的 web.config 中可能有我的 twitter 用户名密码? (叮!灯刚亮)。我的第 3 方 api 用户名/密码。等等。
IMO,这就是真正的安全问题所在。
如果你知道我公司的 Twitter 用户名/密码,然后开始破坏我们的 Twitter 帐户,我会讨厌它。
关于asp.net - 如果用户可以解密它,加密 web.config 有什么意义?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4434969/