none
Connection String no Web Config RRS feed

  • Pergunta

  • Amigos, acabei de configurar o uso do Login/memberships, e depois de muita briga consegui configurar tudo.

     

    No entanto, minha string de conexão está lá no webconfig com senha e tudo mais.

    pergunta: A Connection String no Web Config é segura?

     

    Qual a melhor prática pra proteger a senha da conexão?

    segunda-feira, 22 de setembro de 2008 17:24

Respostas

Todas as Respostas

  • Olá Leandro,

     

    O IIS não permite que os visitantes do site façam download do Web.Config, o que já garante - de certa forma - que apenas pessoas com acesso físico ao servidor ou com permissões suficientes para acessar os arquivos desse computador através da rede possam ler o que está no Web.Config.

     

    O que você pode fazer para tornar ainda mais seguro (e o que a Microsoft recomenda também), é criptografar a seção connectionStrings do Web.config:

     

    Como: criptografar seções de configuração no ASP.NET 2.0 usando RSA
    http://msdn.microsoft.com/pt-br/library/ms998283.aspx

     

    Como criptografar a string de conexão no Web.Config
    http://www.aspneti.com/Como+criptografar+a+string+de+conexao+no+Web.Config.+232,0.aspx

     

    Abraços,

    Caio Proiete




    Caio Proiete
    http://www.caioproiete.com
    segunda-feira, 22 de setembro de 2008 17:33
    Moderador
  • Olá,

    Segue algumas recomendações de segurança com melhores práticas:

     - Criptografar as informações;

     - Restringir acesso ao connection string no Registry utilizando ACLs

     - Alterar o 'Persist Security Info' para 'False' no connection string, assim evitando o retorno da password da propriedade ConnectionString das classes SqlConnection ou OldbConecction

     - Salvar a connection string em arquivo app.config e não web.config (best practices);

     

    Até mais


    Kleber Amaral
    quinta-feira, 28 de outubro de 2010 13:27