AppSettings in web.config verschlüsseln

StackOverflow https://stackoverflow.com/questions/54200

Frage

Ich entwickle eine Web-App, die die Speicherung eines Benutzernamens und eines Passworts in der web.Config erfordert. Sie bezieht sich auch auf einige URLs, die von der Web-App selbst und niemals vom Client angefordert werden.

Ich weiß, dass das .Net-Framework die Bereitstellung einer web.config-Datei nicht zulässt, halte es jedoch immer noch für eine schlechte Praxis, diese Art von Informationen im Klartext zu belassen.

Alles, was ich bisher gelesen habe, erfordert, dass ich einen Befehlszeilenschalter verwende oder Werte in der Registrierung des Servers hinterlege.Ich habe auf keines davon Zugriff, da der Host online ist und ich nur FTP- und Systemsteuerungszugriff (Helm) habe.

Kann mir jemand gute, kostenlose Verschlüsselungs-DLLs oder -Methoden empfehlen, die ich verwenden kann?Ich möchte lieber kein eigenes entwickeln!

Vielen Dank für das bisherige Feedback, aber ich kann keine Befehle erteilen und die Registrierung nicht bearbeiten.Es muss ein Verschlüsselungs-Utility/Helfer sein, aber ich frage mich nur, welches!

War es hilfreich?

Lösung

EDIT:
Wenn Sie nicht asp-Dienstprogramm verwenden können, können Sie Konfigurationsdatei mit Verschlüsselung der Verbindungszeichenfolgen in der Web.config in ASP.Net 2.0

Andere Tipps

Während auf den ersten Blick scheint es einfach zu sein, gibt es ein paar Hürden ich gestoßen.

Also ich bin Schritt bereitstellt, die für mich gut funktioniert (zum Verschlüsseln der appSettings ) mit den Standard-Verschlüsselungsanbietern:

Verschlüsseln Abschnitte in der web.config:

  1. Öffnen Admin Kommando-Shell (run Als Administrator! ). Die Eingabeaufforderung wird auf C: sein, die unten für die Schritte setzen voraus,
    weitere angenommen wird, dass die Anwendung auf D:\Apps\myApp eingesetzt wird -. Dies durch den Pfad ersetzen Sie verwenden in Schritt 3: <. / li>
  2. cd "C:\Windows\Microsoft.NET\Framework64\v4.0.30319", auf 32-Bit-Windows-Systeme verwenden Framework statt Framework64
  3. cd /D "D:\Apps\myApp"
    Hinweis: Der /D Schalter wird das Laufwerk automatisch ändern, wenn es sich von dem aktuellen Laufwerk ist. Hier wird es den Pfad ändern und fahren, so das aktuelle Verzeichnis wird danach D:\Apps\myApp werden.
  4. c:aspnet_regiis -pef appConfig .

Sie sollten diese Meldung:

  

Microsoft (R) ASP.NET RegIIS Version 4.0.30319.0   Verwaltungsprogramm zu installieren und ASP.NET auf dem lokalen Rechner zu deinstallieren.   Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.   Encrypting Konfigurationsabschnitt ...   Gelungen!

Sie können auch Entschlüsseln Abschnitte in der web.config: Dies sind die gleichen Schritte, aber mit der Option -pdf statt -pef für aspnet_regiis.

Es ist auch möglich, andere Abschnitte Ihrer web.config zu verschlüsseln, zum Beispiel können Sie verschlüsselt die Verbindungszeichenfolgen über: 

aspnet_regiis -pe "connectionStrings" -app "/SampleApplication"

Weitere Informationen über das können hier.

Hinweis: Die Verschlüsselung oben ist transparent , um Ihre Web-Anwendung, das heißt Ihre Web-Anwendung nicht erkennt, dass die Einstellungen verschlüsselt sind.
Sie können auch unter Verwendung von Microsoft DPAPI oder mit nicht-transparent Verschlüsselung wählen, zum Beispiel = "nofollow noreferrer"> AES zusammen mit dem Framework- AES Klasse .
Wie es mit DPAPI getan wird Ich habe hier bei Stackoverflow . DPAPI funktioniert sehr ähnlich in dem Sinne, dass sie die Maschine verwendet oder Schlüssel des Benutzers Anmeldeinformationen. Im Allgemeinen Nicht-transparente Verschlüsselung gibt Ihnen mehr Kontrolle, zum Beispiel Sie ein Salz hinzufügen können, oder Sie können einen Schlüssel auf einem Benutzer Passwort basiert. Wenn Sie wissen möchten, mehr darüber, wie Sie einen Schlüssel aus einer Passphrase zu erzeugen, schauen hier .

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top