Sobre a segurança da Machinekey
https://stackoverflow.com/questions/2366099
-
23-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Temos um cenário usando a autenticação do ASP.NET em uma fazenda da web e precisamos configurar idênticas <machinekey /> Seções em cada servidor arquivo .config.
É melhor armazenar o <machinekey /> Seção em Machine.config em vez de web.config? Quais são as vantagens e desvantagens de cada abordagem em relação à segurança?
<machineKey validationKey="[keyhere]"
decryptionKey="[keyhere]" validation="SHA1" />
Se não for seguro, existe alguma maneira de criptografar <machinekey /> Seção como criptografamos nossa história de conexões (com DPAPI)? (http://msdn.microsoft.com/en-us/library/ms998280.aspx)
Atenciosamente Magnus
Solução
Eu o faria no web.config para tornar óbvio que você está fazendo isso. Ele também oferece a capacidade adicional de ter teclas diferentes para aplicativos diferentes, se você quiser aumentar a segurança entre os aplicativos (não que você queira, mas é uma opção se deixada no web.config).
Eu não acho que você seja menos/mais seguro de qualquer maneira. Se o seu servidor estiver comprometido o suficiente para que o web.config seja roubado, provavelmente o mesmo se aplica ao Machine.Config.
Eu não fiz isso, mas acho que você pode usar o DPAPI para criptografar a seção da Machinekey. Não 100% nisso ...
http://msdn.microsoft.com/en-us/library/ms998280.aspx#paght000005_step1
