在CodingHorror blog post一个评论者的意见,认为更难以在比它曾经是一个程序混淆敏感的配置信息(例如SQL Server连接字符串),这是因为模糊算法可以很容易地与Reflector拆卸。您的app.config中使用加密的appSettings元素的安全性如何?
另一个评论表明加密的appSettings可以作为一种替代方法。
安全性如何加密appSettings?它是银行金库,锁着的门,还是开着的窗户,为什么?将“敏感信息”存储在可执行文件中是否安全?
加密算法为是安全的:使用加密安全的主要问题是密钥的安全管理。
在应用程序可执行文件隐藏按键从来没有安全,但它可能是真实地说,他们会更容易使用反射镜一样的工具比传统的非托管可执行文件可执行的托管找到。
加密配置文件在服务器上可能很有用。例如,如果您使用DPAPI使用计算机密钥加密web.config,则只有可以登录到服务器或可以对服务器磁盘进行写入访问的用户才能够对其进行解密:
任何具有读取权限的人通过网络访问服务器磁盘,或者访问应用程序目录的备份副本将无法对其进行解密。
真正的问题是你是谁试图屏蔽用户和密码?在桌面应用程序中,用户可能有权使用他/她自己的帐户访问数据库,不需要pwd(可信)。在一个Web应用程序中,配置文件位于(希望)受保护的地方。到目前为止,我没有找到加密配置文件的很多理由。
我假设有这样的应用程序,否则为什么会有加密AppSettings在第一位? – 2009-10-02 23:49:52