在CodingHorror blog post一個評論者的意見,認爲更難以在比它曾經是一個程序混淆敏感的配置信息(例如SQL Server連接字符串),這是因爲模糊算法可以很容易地與Reflector拆卸。您的app.config中使用加密的appSettings元素的安全性如何?
另一個評論表明加密的appSettings可以作爲一種替代方法。
安全性如何加密appSettings?它是銀行金庫,鎖着的門,還是開着的窗戶,爲什麼?將「敏感信息」存儲在可執行文件中是否安全?
加密算法爲是安全的:使用加密安全的主要問題是密鑰的安全管理。
在應用程序可執行文件隱藏按鍵從來沒有安全,但它可能是真實地說,他們會更容易使用反射鏡一樣的工具比傳統的非託管可執行文件可執行的託管找到。
加密配置文件在服務器上可能很有用。例如,如果您使用DPAPI使用計算機密鑰加密web.config,則只有可以登錄到服務器或可以對服務器磁盤進行寫入訪問的用戶才能夠對其進行解密:
任何具有讀取權限的人通過網絡訪問服務器磁盤,或者訪問應用程序目錄的備份副本將無法對其進行解密。
真正的問題是你是誰試圖屏蔽用戶和密碼?在桌面應用程序中,用戶可能有權使用他/她自己的帳戶訪問數據庫,不需要pwd(可信)。在一個Web應用程序中,配置文件位於(希望)受保護的地方。到目前爲止,我沒有找到加密配置文件的很多理由。
我假設有這樣的應用程序,否則爲什麼會有加密AppSettings在第一位? – 2009-10-02 23:49:52