加密web.config毫無意義？

Question

我今天在讀博客（http://somewebguy.wordpress.com/2009/07/20/is-encrypting-your-web-config-a-waste-of-time/），介紹如何使用aspnet_regiis工具加密你的appsettings/connectionstrings等。

他有一個後續帖子，有些人反饋說這是浪費時間。

我的問題是，你怎麼看？無論如何，只要有人能夠物理訪問你的web.config文件，你是否完全被洗腦？或者這是一個值得注意的預防措施？

Answer 1

我不認爲這是毫無意義的。如果有人能夠訪問您的Web服務器，那麼您遇到了很多麻煩。這是否意味着您需要允許它們獲得對數據庫/中間層/應用程序服務器的相同訪問權限？

Answer 2

你只是最弱的部分。你可以採取的任何措施來提高安全性是一件好事，儘管這不是我所做的。

我同意如果人們有權訪問您的web.configs，您可能會遇到更糟糕的問題。

我總是確保任何數據庫用戶名/密碼存儲在只有在網站的數據庫datareader/datawriter。

你可以做的一件事就是將它們作爲部署的一部分進行加密，使用諸如MSBuild，NAnt，Rake等構建工具。通過這種方式，它不是那麼努力，因此更有可能被你的團隊