이 게시물은 아래 링크와 다소 유사합니다. 안타깝게도 저는 거기에서 질문 할만한 평판이 부족해서 여기서 질문하고 있습니다.
Azure 배포를 위해 Web.config에 암호를 저장하는 올바른 절차가 무엇인지 혼동
위의 게시물은 Azure에 다음과 같은 민감한 데이터를 저장할 수있는 UI를 제공하기 때문에 Azure에 배포하는 경우 잘 작동하는 것 같습니다. 암호 및 키. 따라서 외부 파일이 필요하지 않습니다. 그러나 Azure에 배포하지 않는 경우 다른 웹 호스팅 회사를 통해이 기능을 사용할 수없는 것으로 간주되므로 답변이 적용되지 않습니다.
내 질문은 인터넷을 통해 전송되는 중요한 데이터와 중요한 데이터가 포함 된 * .config 파일을 관리하는 악의적 인 사용자로부터 중요한 데이터를 보호하는 가장 좋은 방법은 무엇입니까? 내가 가진 몇 가지 아이디어는 다음과 같습니다.
1.) 디렉터리 트리에서 두 폴더 위에있는 외부 파일 (AppSettingsSecrets.config)에 중요한 데이터를 저장 하시겠습니까?
2.) 동일한 프로젝트에있는 외부 파일 (AppSettingsSecrets.config)에 중요한 데이터를 배치하고 파일의 빌드 작업을 없음으로 설정 하시겠습니까?
3.) 중요한 데이터를 web.config 파일에 저장하지만 중요한 데이터가 포함 된 파일 섹션을 암호화 하시겠습니까?
* .config 파일 자체 내에서 중요한 데이터를 보호하는 이유는 악의적 인 사용자가 중요한 데이터가 포함 된 파일을 가져 오는 경우 중요한 데이터를 읽을 수 없기 때문입니다. 세 가지 옵션 모두 첫 번째 질문 (민감한 데이터 데이터가 인터넷을 통해 전송되는 것을 방지)에만 해당하는 것처럼 보이지만 옵션 3은 * .config 파일을 가져온 악의적 인 사용자가 중요한 내용을 읽지 못하도록 방지하는 것뿐입니다. 이 경우 세 가지 옵션 모두 민감한 데이터를 저장할 파일과 해당 파일의 위치에 대해 문제가있는 것처럼 보입니다. 중요한 데이터가 포함 된 web.config 파일의 일부를 암호화하고 계속 진행하십시오. 내가 뭔가를 놓치고 있습니까?
나는 이미 당신이 언급 한 내 제안을 제공하려고 노력할 것입니다. 가장 안전한 방법은 가능한 한 웹 구성에 민감한 데이터를 넣지 않는 것입니다. 실제로 필요한 경우 옵션 3 인 이 방법 을 사용하여 암호화 하고 계속 진행해야합니다!
잠깐, 뭐로 넘어가? 애플리케이션의 다른 보안 측면으로 이동해야합니다. 웹 구성 섹션 보안은 완전한 보호를 보장하지 않습니다. 서버를 강화하고, 통신을 보호하고, 침투 테스트를 수행하거나 온라인 취약성 테스트 및 소스 코드 스캔을 수행해야합니다. 과도하고 재 빠르게 들릴 수 있지만 보안 문제를 정말로 완화하려면 내가 언급 한 것들이 필수입니다. 이제 당신과 나는 더 이상 안전하지 않기 때문에 완화라고 말합니다! 인터넷에 연결되어 있지 않으면 그렇지 않습니다. :)
업데이트 : 도움이 될 수있는 도구입니다. 일부는 무료이고 일부는 그렇지 않습니다. 이것에만 국한되지 않습니다
혼자서 수행하지 않으려면 whitehatsec 과 같은 타사에서이 보안 테스트를 위임 할 수 있습니다 .
좋아요, 그게 전부입니다. 나야! :)
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다