Öncelikle belirtmek isterim ki, fiziksel erişim sağlandığında hiçbir güvenlik önlemi saldırganı durduramaz. Burada fiziksel erişim, ftp hesabına erişilmesi olayı diyebiliriz. (dosyalarınıza erişim sağlandığı için.)
Yani ilk aşamada ftp bilgilerinizi iyi koruyun ve brute-force ataklarına dayanıklı bir şifre edinin. (sunucu shared ise sunucuların adminlerinin olduğunu unutmayın ftp bilgilerinizden evvel.)
web.config dosyanızı şifrelemek bir yere kadar saldırganı yavaşlatabilir. web.configdeki hassas bilgileri shared sunucu ortamında eğer yazma hakkınız varsa http://www.dotnetcurry.com/ShowArticle.aspx?ID=185 bu
adresteki örnekten inceleyebilirsiniz. (sunucu size özel olsaydı aspnet_regiis aracı ile daha kolay gerçekleştirebilirdiniz aynı işlemi)
fakat bu ftp şifrenizi ele geçirmiş saldırganı dediğim gibi sadece yavaşlatır. saldırgan gidip çok rahat makaledeki decrypt fonksiyonunu çağıracak bir kod yazıp atabilir..
şu haliyle önerilerim :
güvenlik takıntınız varsa shared hostingden kaçının.
ftp bilgilerinizi kompleksleştirin ve dijital olarak saklamayın. ayrıca fiziksel kopyanız da yanınızda olsun ve aleni bir ftp hesap şifresi olduğu belli olmasın.
kendi sunucunuza geçince ftp yi kullanmayın. iis web deploy ile rahat ve daha güvenli, ve çok hızlı şekilde deployment yapın.
Burak SARICA
