Sobre a segurança da Machinekey
-
23-09-2019 - |
Pergunta
Temos um cenário usando a autenticação do ASP.NET em uma fazenda da web e precisamos configurar idênticas <machinekey />
Seções em cada servidor arquivo .config.
É melhor armazenar o <machinekey />
Seção em Machine.config em vez de web.config? Quais são as vantagens e desvantagens de cada abordagem em relação à segurança?
<machineKey validationKey="[keyhere]"
decryptionKey="[keyhere]" validation="SHA1" />
Se não for seguro, existe alguma maneira de criptografar <machinekey />
Seção como criptografamos nossa história de conexões (com DPAPI)? (http://msdn.microsoft.com/en-us/library/ms998280.aspx)
Atenciosamente Magnus
Solução
Eu o faria no web.config para tornar óbvio que você está fazendo isso. Ele também oferece a capacidade adicional de ter teclas diferentes para aplicativos diferentes, se você quiser aumentar a segurança entre os aplicativos (não que você queira, mas é uma opção se deixada no web.config).
Eu não acho que você seja menos/mais seguro de qualquer maneira. Se o seu servidor estiver comprometido o suficiente para que o web.config seja roubado, provavelmente o mesmo se aplica ao Machine.Config.
Eu não fiz isso, mas acho que você pode usar o DPAPI para criptografar a seção da Machinekey. Não 100% nisso ...
http://msdn.microsoft.com/en-us/library/ms998280.aspx#paght000005_step1