À propos de la sécurité de la clé machine

Nous avons un scénario utilisant l'authentification par formulaires ASP.net dans une batterie de serveurs Web et nous devons configurer des sections <machinekey /> identiques sur chaque fichier .config de serveurs.À propos de la sécurité de la clé machine

Vaut-il mieux stocker la section <machinekey /> dans machine.config plutôt que web.config? Quels sont les avantages et les inconvénients de chaque approche en matière de sécurité?

<machineKey validationKey="[keyhere]" 
    decryptionKey="[keyhere]" validation="SHA1" />

Si ce ne est pas assez sûr, est-il possible de chiffrer la section <machinekey /> comme nous chiffrons notre connectionsstring (avec DPAPI)? (http://msdn.microsoft.com/en-us/library/ms998280.aspx)

Cordialement Magnus

Source

2010-03-02 Claysson

j'aurais dans le web.config pour le rendre évident que vous faites cela. Il vous donne également la possibilité d'avoir différentes clés pour différentes applications si vous voulez une sécurité accrue entre les applications (ce n'est pas ce que vous voulez mais c'est une option si vous la laissez dans le web.config).

Je ne pense pas que vous soyez plus ou moins sécurisé de toute façon. Si votre serveur est suffisamment compromis pour que le fichier web.config soit volé, il en sera probablement de même pour le fichier machine.config.

Je ne l'ai pas fait mais je pense que vous pouvez utiliser DPAPI pour crypter la section machineKey. Pas à 100% sur que si ...

http://msdn.microsoft.com/en-us/library/ms998280.aspx#paght000005_step1

Source

2010-03-02 19:59:08 klabranche

merci pour la réponse, il a été très facile après tout =) http://msdn.microsoft.com/en-us/library/dtkwfdky.aspx – Claysson

Votre bienvenue. Heureux de vous aider. :-) – klabranche

sauf que je parie que beaucoup d'entrées machineKey finissent par être ajoutées par un développeur dans les fichiers web.config .... –

À propos de la sécurité de la clé machine

Répondre

Questions connexes