तो मैं SQL प्रमाणीकरण का उपयोग कर अपने web.config में कनेक्शन स्ट्रिंग का उपयोग कर रहा हूं।क्या web.config में कनेक्शन स्ट्रिंग को सुरक्षित करने की आवश्यकता है?
बेशक लोग कहते हैं कि यह एक भेद्यता हो सकती है क्योंकि आप सादे टेक्स्ट में पासवर्ड संग्रहीत कर रहे हैं।
हालांकि, मुझे पता है कि, आईआईएस कभी भी web.config परोसता नहीं है, और web.config को केवल प्रशासकों और आईआईएस तक पहुंच पढ़ने चाहिए। तो यदि हैकर ने वेबसर्वर तक पहुंच प्राप्त की है, तो इससे कोई फर्क नहीं पड़ता कि मैं किस एन्क्रिप्शन का उपयोग करता हूं क्योंकि निजी कुंजी वेबसर्वर पर होगी।
कनेक्शन स्ट्रिंग को एन्क्रिप्ट करने से एन्फ्यूस्केशन के माध्यम से सुरक्षा के रूप में वर्गीकृत नहीं किया जाएगा?
क्या यह web.config कनेक्शन स्ट्रिंग को एन्क्रिप्ट करने और वेबसर्वर पर निजी कुंजी संग्रहीत करने योग्य है?
बेशक, अगर मैं एसएसएल का उपयोग नहीं करता हूं, तो मैं सादे टेक्स्ट में HTTP पर कनेक्शन स्ट्रिंग ट्रांसमिट कर रहा हूं। अगर मैं एसएसएल का उपयोग करता हूं तो इस समस्या को भी कम किया जाना चाहिए।
1. यह डिफ़ॉल्ट विकल्प है, और आपको इसे मैन्युअल रूप से सेट करना होगा। 2। फिर उनके पास पहले से ही आपके स्रोत कोड तक पहुंच है। क्या हमें स्रोत कोड एन्क्रिप्ट करना होगा और रन-टाइम पर डिक्रिप्ट करना चाहिए? मेरे लिए अत्यधिक लगता है। 3. मुझे लगता है कि अगर आपके पास पहले से ही आपके बॉक्स तक पहुंच सीमित है, तो आपका होस्ट विफल हो गया है या आपने पहले से ही कमजोर सेवाओं को स्थापित किया है। ---- मेरे लिए web.config एन्क्रिप्ट करना obfuscation के माध्यम से सुरक्षा है। यह मेरे जैसा होगा, मेरे जावास्क्रिप्ट स्रोत कोड को सुरक्षित करने के लिए मेरे जावास्क्रिप्ट को एन्क्रिप्ट करना (भले ही वेब ब्राउजर इसे पढ़ सके)। मेरी चिंता मानक प्रथाओं है। क्या यह एक मानक है ???? – Dexter
आगे, यह कितना जोखिम है? क्या यह आम है कि लोग वेब पर एएसपीनेट वेबसाइटों पर web.configs तक पहुंच रहे हैं? मेरा मतलब है, आईआईएस एक अपरिवर्तनीय त्रुटि का सामना कर सकता है और गलती से web.config प्रदर्शित कर सकता है क्योंकि यह web.config को पढ़ने की कोशिश कर रहा है और कुछ समय के लिए कुछ वेबसाइट प्रदर्शित करता है। क्या हमें वास्तव में ऐसी खगोलीय दुर्लभ घटना के लिए योजना बनाना है? अधिकांश PHP वेबसाइट अपने डेटाबेस पासवर्ड की सुरक्षा के लिए कुछ प्रकार की settings.php या config.php का भी उपयोग करती है, और केवल इसकी पढ़ने की अनुमतियों को बदलती है। वे या तो एन्क्रिप्ट नहीं करते हैं (यहां तक कि उत्पादन सर्वर में भी)। – Dexter
मैंने अपने अपडेट किए गए उत्तर में अपने प्रश्नों को संबोधित करने का प्रयास किया है। –