어쩌면 내가 잘못 이해하고 있지만 연결 문자열을 보호하는 가장 좋은 방법은 암호화하는 것입니다. 지금은 이러한 질문이 있습니다.견고하게 web.config를 보호하는 방법
질문 1 :
공유 호스팅 환경에서 작업을 암호화 할 것인가?
질문 2 :
내가 어떤 사용자가 ASPX 파일을 업로드하고 구성 관리자 네임 스페이스를 통해 연결 문자열을 검색 할 수있는 FTP 서비스가 있다면?
질문 1 :에 대한 연결 문자열을 보호하는 어떤
?
해커 및 기타 사용자를 상대로하는 경우 web.config을 사용할 수있는 경우 시스템이 이미 손상되었으며 사용자가 할 수있는 조치가 도움이되지 않습니다.
평범한 관찰자 (즉, 코더)를 상대로하는 경우 base64 인코딩과 같은 단순한 기술도 도움이됩니다.
질문 2 :
당신은 사용자가 영문 파일을 실행할 수있는 디렉토리에 파일을 업로드 할 수 있도록해서는 안 - 사용자가 원하는 아무것도을 할 수있는 방법입니다.
2 가지 질문에 대한 대답이 아니지만, 연결 문자열을 보호하는 가장 좋은 방법은 연결 문자열에 암호가 필요한 연결이없는 것입니다. NTLM 또는 이와 유사한 것이 훨씬 안전합니다. 사용자가 FTP에 액세스 할 수있는 경우를 제외하면 암호화는 쉽게 뒤집을 수있는 불명료 한 보안입니다.
암호화는 자체적으로 Kerckhoff의 법칙 (모호함을 통한 보안의 근원)을 위반하지는 않지만 그러한 방식으로 자주 사용됩니다. 문제는 당신이 직무 분리를해야한다는 것입니다 서버 측 구성 암호화를 안전하게하는 방법 : 액세스가 서버 관리자 액세스를 허용하지 않는 키 저장소이며 권한이 부여 된 사용자를 대신하여 키 검색 만 허용하는 경우 직접 NTLM 또는 Kerberos는 인프라에서 지원하는 경우 더 간단합니다 (일부 데이터베이스, 아아아!) –
나는 암호 해독이 좋지 않다는 것을 의미하지만 암호화 된 상태에서는 암호화가 전혀 보안을 높이 지 않는다는 것을 의미합니다. – Mash
일들이 다들, 나는 사용자가 config 디렉토리에 대한 ftp 액세스 권한을 갖도록하지 않을 것이지만 연결 문자열이나 민감한 데이터를 검색 할 aspx 코드를 업로드하는 것을 원하지는 않는다. ? IIS에 의한 액세스가 차단 된 것을 알고 있지만 해커가 어떻게 접근하여 접근 할 수 있습니까? – DevMania
남자, 어떻게하면 디렉토리가 aspx 파일을 실행하지 못하게 할 수 있습니까? – DevMania
@devmania : IIS에서 가상 디렉터리를 만들고 실행을 거부합니다. –
남자, 공유 호스팅을 사용하는 경우 :( – DevMania