Шифрование connectionStrings в классическом ASP

Question

Я ищу способ повысить безопасность в некоторых старых веб-приложениях. В настоящее время они имеют свои строки соединений, сохраненные в текстовом виде в файле include.asp. В идеале я думал переместить их в файл web.config и зашифровать это с помощью aspnet_regiis.exe, но это не работает для классического ASP.

Я осмотрел интернет, но не могу найти что-либо, что, по-видимому, подходит именно этому, кто-нибудь сталкивается с тем же вопросом раньше?

Answer 1

Лучший способ защитить ваш include.asp - использовать анонимную проверку подлинности на сайте и не забудьте установить защиту NTLM этого файла, чтобы он мог быть прочитан только пользователем, используемым IIS.

Если это невозможно, вы можете запутать строку несколькими способами, но почти никто не будет очень безопасным, поэтому вы можете избежать этих строк, которые видят случайные nosy-пользователи, но не хакеры.

• вы можете использовать свою собственную крипту и расшифровать функцию, но они будут видны сами в .asp файлах см here и here для примеров

• вы можете использовать внешний крипт и шифровать инструмент, который запускается от вашего .asp, как это (я использую это, чтобы запустить скрипт на Ruby и получить результаты, заменить команду, выполняемую вашими)

  set objWShell = CreateObject("WScript.Shell") 
  set objCmd = objWShell.Exec("cmd.exe /c c:\Ruby193\bin\ruby.exe d:\inetpub\site\appl\RMW\import\import.rb") 
  result = objCmd.StdOut.Readall() 
  errors = objCmd.STDERR.Readall() 
  set objCmd = nothing 
  set objWShell = nothing 
  

• Вы можете использовать Windows Script Encoder, если операционная система поддерживает его, см