Szyfrowanie web.config dla stron internetowych

Question

Już znalazłem informacje o tym, jak zaszyfrować web.config z niestandardowym dostawcą i certyfikatem dla ról internetowych w celu zabezpieczenia ciągów połączeń i innych ustawień.

Czy jest to również możliwe w przypadku witryn internetowych? Jeśli nie, w jaki sposób mogę zabezpieczyć ciąg połączenia dla stron internetowych? Wiem, że potrafię zarządzać ciągami połączeń w portalu Lazur, ale są one również przechowywane w czystym tekście. Jeśli ktoś uzyska dostęp do web.config lub lazurowego zarządzania, będzie mógł odczytać wszystkie dane.

zobacz także:

http://www.heikniemi.net/hardcoded/2013/06/encrypting-connection-strings-in-windows-azure-web-applications/comment-page-1/#comment-173488

http://blogs.msdn.com/b/sqlazure/archive/2010/09/10/10060395.aspx

Answer 1

Store par klucz-wartość łańcuchowe (łańcuchy połączeń i inne tajemnice) w informacji o konfiguracji Azure związanego ze strony internetowej. To poufne informacje nigdy potem pokazać się jako zwykły tekst w pliku web.config

http://azure.microsoft.com/blog/2013/07/17/windows-azure-web-sites-how-application-strings-and-connection-strings-work/

To powinno być wystarczająco bezpieczne - jeżeli lazurowe poświadczenia administratora się zagrożona, można stracić wszystko, a nie tylko ciągi połączeń - atakujący może po prostu użyć zdalne debugowanie stron internetowych w celu uzyskania informacji przechodzących przez program, nawet jeśli istnieje sposób szyfrowania/odszyfrowywania ciągów połączeń.

-Simon.