En iyi yanıtlayıcılar
WebConfig de bilgiler çok açık (Güvenlik)

Soru
-
Sorunla birkaç gündür uğraşıyorum ancak çok fazla yol kat edemedim. Aslında web sitesi yapanların ortak sorunu olduğunu düşünüyorum.
Web sitemin data işlemlerinde Entity kullanıyorum. Bunlarla ilgili bir sorunum yok ancak veritabanımla ilgili tüm bilgiler webconfig e otomatik olarak yazılıyor. Kullanıcı adı şifre herşey apaçık ortada. Ftp'den publish ediyorum sürekli bu yüzden ftp de kullanıyorum. Ancak ftp hesabımın ele geçirilmesi demek, tüm SQL serverin ele geçirilmesi anlamı taşır ki bu durum beni rahatsız ediyor. Burada bilgileri nasıl gizleyebilirim.
- Ftp yi kapatmak istemiyorum çünkü aktif olarak kullanıyorum (Ayrıca sorun olacak diye kapatmak deneyim açısından pek iyi bir şey değil).
- Integrated Secrurity=True seçeneğini kullanıyorum ancak bu sefer de hata alıyorum.
- WebConfig deki bilgileri şifreleme de kullanabileceğimi sanmıyorum. Çünkü entity bu bilgileri otomatik alıyor. En azından ben nasıl yapılacağını bilmiyorum.
- websitesinde authentication mode=Forms olarak kullanıyorum.
İhtiyaç olursa daha fazla bilgi de paylaşabilirim. Şimdiden teşekkür ediyorum.
Yanıtlar
-
Öncelikle belirtmek isterim ki, fiziksel erişim sağlandığında hiçbir güvenlik önlemi saldırganı durduramaz. Burada fiziksel erişim, ftp hesabına erişilmesi olayı diyebiliriz. (dosyalarınıza erişim sağlandığı için.)
Yani ilk aşamada ftp bilgilerinizi iyi koruyun ve brute-force ataklarına dayanıklı bir şifre edinin. (sunucu shared ise sunucuların adminlerinin olduğunu unutmayın ftp bilgilerinizden evvel.)
web.config dosyanızı şifrelemek bir yere kadar saldırganı yavaşlatabilir. web.configdeki hassas bilgileri shared sunucu ortamında eğer yazma hakkınız varsa http://www.dotnetcurry.com/ShowArticle.aspx?ID=185 bu adresteki örnekten inceleyebilirsiniz. (sunucu size özel olsaydı aspnet_regiis aracı ile daha kolay gerçekleştirebilirdiniz aynı işlemi)
fakat bu ftp şifrenizi ele geçirmiş saldırganı dediğim gibi sadece yavaşlatır. saldırgan gidip çok rahat makaledeki decrypt fonksiyonunu çağıracak bir kod yazıp atabilir..
şu haliyle önerilerim :
güvenlik takıntınız varsa shared hostingden kaçının.
ftp bilgilerinizi kompleksleştirin ve dijital olarak saklamayın. ayrıca fiziksel kopyanız da yanınızda olsun ve aleni bir ftp hesap şifresi olduğu belli olmasın.
kendi sunucunuza geçince ftp yi kullanmayın. iis web deploy ile rahat ve daha güvenli, ve çok hızlı şekilde deployment yapın.
Burak SARICA
- Yanıt Olarak İşaretleyen matanist 13 Mayıs 2013 Pazartesi 08:07
Tüm Yanıtlar
-
Öncelikle belirtmek isterim ki, fiziksel erişim sağlandığında hiçbir güvenlik önlemi saldırganı durduramaz. Burada fiziksel erişim, ftp hesabına erişilmesi olayı diyebiliriz. (dosyalarınıza erişim sağlandığı için.)
Yani ilk aşamada ftp bilgilerinizi iyi koruyun ve brute-force ataklarına dayanıklı bir şifre edinin. (sunucu shared ise sunucuların adminlerinin olduğunu unutmayın ftp bilgilerinizden evvel.)
web.config dosyanızı şifrelemek bir yere kadar saldırganı yavaşlatabilir. web.configdeki hassas bilgileri shared sunucu ortamında eğer yazma hakkınız varsa http://www.dotnetcurry.com/ShowArticle.aspx?ID=185 bu adresteki örnekten inceleyebilirsiniz. (sunucu size özel olsaydı aspnet_regiis aracı ile daha kolay gerçekleştirebilirdiniz aynı işlemi)
fakat bu ftp şifrenizi ele geçirmiş saldırganı dediğim gibi sadece yavaşlatır. saldırgan gidip çok rahat makaledeki decrypt fonksiyonunu çağıracak bir kod yazıp atabilir..
şu haliyle önerilerim :
güvenlik takıntınız varsa shared hostingden kaçının.
ftp bilgilerinizi kompleksleştirin ve dijital olarak saklamayın. ayrıca fiziksel kopyanız da yanınızda olsun ve aleni bir ftp hesap şifresi olduğu belli olmasın.
kendi sunucunuza geçince ftp yi kullanmayın. iis web deploy ile rahat ve daha güvenli, ve çok hızlı şekilde deployment yapın.
Burak SARICA
- Yanıt Olarak İşaretleyen matanist 13 Mayıs 2013 Pazartesi 08:07
-
Ayrıca Web.config haricinde, hassas dataları encrypt edilmiş olarak tutacağınız kendi konfigürasyon dosyanızı ve konfigürasyon yapınızı oluşturabilirsiniz.
Ayrıca http://msdn.microsoft.com/en-us/library/zhhddkxy.aspx 'e göz atabilirsiniz.
MCTS www: http://www.minepla.net
-