в моем веб-приложении, мне нужно использовать файл .exe.config, который содержит чувствительные пароли.Безопаснее ли размещать файл exe.config за пределами корневого пути IIS
Лучше ли размещать его вне корневого пути IIS, чтобы уменьшить угрозы?
Я знаю, что IIS не поддерживает конфигурационный файл, но я продолжаю слышать, что всегда опасно писать текстовые пароли в конфигурационных файлах ... Заранее благодарим за ваши советы.
, имеющий простой пароль в файле, плохая идея, как вы уже слышали. Почему вы не рассматриваете использование базы данных для этого? –
Я не могу использовать базы данных. Насколько я знаю, строка подключения к базе данных с логином и паролем также находится в файле конфигурации, поэтому угроза остается неизменной? – FieryA
нет .. даже если они захватывают ваш логин и пароль в базе данных, они по-прежнему не имеют понятия о именах таблиц, структуре таблицы, какой таблице есть и т. Д. И т. Д. ... Следовательно, они cannotdo много в любом случае .. Также, даже если они действительно получают чтобы узнать о структуре таблицы, они все равно не могут запросить его, если вы не разрешаете им или если не существует какого-либо дефекта дизайна, такого как «SQL Injection». –