web-dev-qa-db-ja.com

web.configの設定を暗号化すると、実際にセキュリティが提供されますか?

Web.configファイルの値を暗号化すると、実際に実際の保護が提供されますか?どのWebアプリでもその設定を読み取ることができるようです。はい、それは単にweb.configファイルを読み取るよりも多くの作業ですが、システムを制御できれば大きな違いはありません。

6
David Thielen

いいえ、web.configセクションを暗号化するときは、構成が属するアプリケーションとサイトを指定します。コンテナーはそのサイトとアプリケーションに固有であり、他のアプリケーションからアクセスできなくなります。

システムを制御する場合は、セクションの復号化だけでなく、好きなことを実行できます。箱の所有者に対する保護はありません。

ここで得られる最大の保護は、web.configファイル自体のリークに対するものです。悪意のある当事者がファイルのコピーを取得した場合、そのファイルに含まれている機密データは、暗号化されていれば攻撃に使用することはできません。

7
Xander