none
WebConfig de bilgiler çok açık (Güvenlik) RRS feed

  • Soru

  • Sorunla birkaç gündür uğraşıyorum ancak çok fazla yol kat edemedim. Aslında web sitesi yapanların ortak sorunu olduğunu düşünüyorum.

    Web sitemin data işlemlerinde Entity kullanıyorum. Bunlarla ilgili bir sorunum yok ancak veritabanımla ilgili tüm bilgiler webconfig e otomatik olarak yazılıyor. Kullanıcı adı şifre herşey apaçık ortada. Ftp'den publish ediyorum sürekli bu yüzden ftp de kullanıyorum. Ancak ftp hesabımın ele geçirilmesi demek, tüm SQL serverin ele geçirilmesi anlamı taşır ki bu durum beni rahatsız ediyor. Burada bilgileri nasıl gizleyebilirim.

    - Ftp yi kapatmak istemiyorum çünkü aktif olarak kullanıyorum (Ayrıca sorun olacak diye kapatmak deneyim açısından pek iyi bir şey değil).

    - Integrated Secrurity=True seçeneğini kullanıyorum ancak bu sefer de hata alıyorum.

    - WebConfig deki bilgileri şifreleme de kullanabileceğimi sanmıyorum. Çünkü entity bu bilgileri otomatik alıyor. En azından ben nasıl yapılacağını bilmiyorum.

    - websitesinde authentication mode=Forms olarak kullanıyorum.

    İhtiyaç olursa daha fazla bilgi de paylaşabilirim. Şimdiden teşekkür ediyorum.

    12 Mayıs 2013 Pazar 07:25

Yanıtlar

  • Öncelikle belirtmek isterim ki, fiziksel erişim sağlandığında hiçbir güvenlik önlemi saldırganı durduramaz. Burada fiziksel erişim, ftp hesabına erişilmesi olayı diyebiliriz. (dosyalarınıza erişim sağlandığı için.)

    Yani ilk aşamada ftp bilgilerinizi iyi koruyun ve brute-force ataklarına dayanıklı bir şifre edinin. (sunucu shared ise sunucuların adminlerinin olduğunu unutmayın ftp bilgilerinizden evvel.)

    web.config dosyanızı şifrelemek bir yere kadar saldırganı yavaşlatabilir. web.configdeki hassas bilgileri shared sunucu ortamında eğer yazma hakkınız varsa http://www.dotnetcurry.com/ShowArticle.aspx?ID=185 bu adresteki örnekten inceleyebilirsiniz.  (sunucu size özel olsaydı aspnet_regiis aracı ile daha kolay gerçekleştirebilirdiniz aynı işlemi)

    fakat bu ftp şifrenizi ele geçirmiş saldırganı dediğim gibi sadece yavaşlatır. saldırgan gidip çok rahat makaledeki decrypt fonksiyonunu çağıracak bir kod yazıp atabilir..

    şu haliyle önerilerim :

    güvenlik takıntınız varsa shared hostingden kaçının.

    ftp bilgilerinizi kompleksleştirin ve dijital olarak saklamayın. ayrıca fiziksel kopyanız da yanınızda olsun ve aleni bir ftp hesap şifresi olduğu belli olmasın.

    kendi sunucunuza geçince ftp yi kullanmayın. iis web deploy ile rahat ve daha güvenli, ve çok hızlı şekilde deployment yapın. 


    Burak SARICA

    • Yanıt Olarak İşaretleyen matanist 13 Mayıs 2013 Pazartesi 08:07
    12 Mayıs 2013 Pazar 18:56

Tüm Yanıtlar

  • Öncelikle belirtmek isterim ki, fiziksel erişim sağlandığında hiçbir güvenlik önlemi saldırganı durduramaz. Burada fiziksel erişim, ftp hesabına erişilmesi olayı diyebiliriz. (dosyalarınıza erişim sağlandığı için.)

    Yani ilk aşamada ftp bilgilerinizi iyi koruyun ve brute-force ataklarına dayanıklı bir şifre edinin. (sunucu shared ise sunucuların adminlerinin olduğunu unutmayın ftp bilgilerinizden evvel.)

    web.config dosyanızı şifrelemek bir yere kadar saldırganı yavaşlatabilir. web.configdeki hassas bilgileri shared sunucu ortamında eğer yazma hakkınız varsa http://www.dotnetcurry.com/ShowArticle.aspx?ID=185 bu adresteki örnekten inceleyebilirsiniz.  (sunucu size özel olsaydı aspnet_regiis aracı ile daha kolay gerçekleştirebilirdiniz aynı işlemi)

    fakat bu ftp şifrenizi ele geçirmiş saldırganı dediğim gibi sadece yavaşlatır. saldırgan gidip çok rahat makaledeki decrypt fonksiyonunu çağıracak bir kod yazıp atabilir..

    şu haliyle önerilerim :

    güvenlik takıntınız varsa shared hostingden kaçının.

    ftp bilgilerinizi kompleksleştirin ve dijital olarak saklamayın. ayrıca fiziksel kopyanız da yanınızda olsun ve aleni bir ftp hesap şifresi olduğu belli olmasın.

    kendi sunucunuza geçince ftp yi kullanmayın. iis web deploy ile rahat ve daha güvenli, ve çok hızlı şekilde deployment yapın. 


    Burak SARICA

    • Yanıt Olarak İşaretleyen matanist 13 Mayıs 2013 Pazartesi 08:07
    12 Mayıs 2013 Pazar 18:56
  • Ayrıca Web.config haricinde, hassas dataları encrypt edilmiş olarak tutacağınız kendi konfigürasyon dosyanızı ve konfigürasyon yapınızı oluşturabilirsiniz.

    Ayrıca http://msdn.microsoft.com/en-us/library/zhhddkxy.aspx 'e göz atabilirsiniz.


    MCTS www: http://www.minepla.net

    13 Mayıs 2013 Pazartesi 06:34
  • Teşekkür ederim cevaplar için. Paylaşımlıdan kastın başka hostinglerse evet başka kullanıcılara ait hostingler mevcut (Müşterilerimiz için hazırladığımız websayfalarımız mevcut). Sunucu bize ait (vps sunucu). iis web deploy u da hemen araştırıyorum.
    13 Mayıs 2013 Pazartesi 08:09