ist aspnet_regiis sicher?

17/10/2008 - 21:25 von Alberto Luca | Report spam
Hallo NewsGroup,

ich beabsichtige, mittels aspnet_regiis den Connectionstring von web.config,
bzw. app.config zu verschlüsseln.
(app.config über den Umweg, app.config zunàchst in web.config umzubenennen,
damit das Tool funktioniert und anschl. wieder zurück zu renamen.)

Ich frage mich jedoch, wie das sicher funktionieren soll, da ich bei diesem
Tool keinen Schlüssel mitgebe, und auch beim Lesen der Config wird kein
Schlüssel verwendet.

Muss somit die Verschlüsselung auf dem gleichen PC wie das Entschlüsseln
stattfinden?
Sicherheit pro Maschine (DPAPI)?

Mein Scenario:
Ich habe eine Windows-Application, welche eine app.config mit
ConnectionString verwendet.
Der ConnectionString in der app.config wird verschlüsselt.

Meine Anwendung wird auf zig-PCs deployed (mit verschlüsselter app.config)
und auf diesen PCs wird der ConnectionString wieder entschlüsselt.

Besten Dank vorab!
Ciao, Alberto
 

Lesen sie die antworten

#1 Frank Dzaebel
18/10/2008 - 12:47 | Warnen spam
Hallo Alberto,

ich beabsichtige, mittels aspnet_regiis den Connectionstring von
web.config, bzw. app.config zu verschlüsseln.



ggf. ist die Newsgroup:
microsoft.public.de.german.entwickler.dotnet.asp
besser geeignet bei web.config-Fragen.

Für ASP.NET wird es empfohlen, dass die vertraulichen
Informationen in diesen Konfigurationsabschnitten aus
Sicherheitsgründen mit anderen Mitteln verschlüsseln,
z. B. mit der ASP.NET-Konsolenanwendung Set Registry
(Aspnet_setreg.exe):

[Übersicht über die geschützte Konfiguration]
http://msdn.microsoft.com/de-de/lib...x3tas.aspx

Weitere Informationen:

[Verwenden des ASP.NET-Dienstprogramms zum Verschlüsseln von
Anmeldeinformationen und Verbindungszeichenfolgen mit dem Sitzungsstatus]
http://support.microsoft.com/kb/329290/de



ciao Frank
Dipl.Inf. Frank Dzaebel [MCP/MVP C#]
http://Dzaebel.NET

Ähnliche fragen