О безопасности machinekey

У нас есть сценарий с использованием asp.net Forms Authentication в веб-ферме и необходимо настроить одинаковые разделы <machinekey /> на каждом файле .config.О безопасности machinekey

Лучше ли хранить раздел <machinekey /> в файле machine.config, а не web.config? каковы преимущества и недостатки каждого подхода к безопасности?

<machineKey validationKey="[keyhere]" 
    decryptionKey="[keyhere]" validation="SHA1" />

Если его не достаточно безопасно, есть ли способ для шифрования <machinekey /> раздела, как мы кодируем наши connectionsstring (с DPAPI)? (http://msdn.microsoft.com/en-us/library/ms998280.aspx)

С наилучшими пожеланиями Magnus

источник

2010-03-02 Claysson

я бы его в web.config, чтобы сделать это очевидным, что вы делаете это. Он также дает вам дополнительную возможность иметь разные ключи для разных приложений, если вы хотите повысить безопасность между приложениями (не то, что вы можете захотеть, но это вариант, если оставить его в файле web.config).

Я не думаю, что вы менее или менее безопасны в любом случае. Если ваш сервер достаточно скомпрометирован для кражи web.config, то, вероятно, это так же верно для machine.config.

Я не сделал этого, но я думаю, вы можете использовать DPAPI для шифрования секции machineKey. Не 100% на том, что, хотя ...

http://msdn.microsoft.com/en-us/library/ms998280.aspx#paght000005_step1

источник

2010-03-02 19:59:08 klabranche

спасибо за ответ, это было очень легко после того, как все =) http://msdn.microsoft.com/en-us/library/dtkwfdky.aspx – Claysson

Ваш прием. Рад помочь. :-) – klabranche

кроме того, что я сделал ставку на множество записей machineKey, просто добавляется разработчиком в файлы web.config .... –

ответ

Смежные вопросы