web.config의 연결 문자열 보안

Question

나는 자신의 응용 프로그램 풀 아래에서 IIS 7.5에서 실행되는 공개 웹 사이트가 있습니다. 사이트의 web.config에는 암호화되지 않은 연결 문자열이 sql 데이터베이스에 있습니다.

자체 ID가 & 인 응용 프로그램 풀을 실행 한 다음 web.config에서 sql 인증을 사용하여 데이터베이스에 연결하면 db에 대한 Kerbeos 인증의 이점을 잃을 수 있습니다.

또는 자신의 ID가 & 인 응용 프로그램 풀을 구성한 다음 연결 문자열에 통합 보안을 사용하여 Windows 보안의 이점을 얻으려고합니까?

Answer 1

옵션이있는 경우 앱 풀을 실행하고 통합 보안을 사용해야합니다. # 2 이것은 사이트가 해킹 당하면 비밀번호를 유출하지 않는 이점이 있습니다. 그러나 이것은 SQL 주입 유형 공격을 막지는 못합니다.

Answer 2

서버에 대한 제어력이 충분하다면 Windows 인증으로 이동하십시오. 그것이 "더 나은"것인지 말할 수는 없지만 관리가 더 쉬울 것이라고 생각합니다.