Как вы шифруете web.config для размещенного веб-приложения?
Hello everyone - I've been trying to find a way to encrypt or further secure the web.config file for my website. I have read a lot of guides and my main limitation from these is that I am using web hosting on a shared server (GoDaddy, specifically) so I do not have access to root drive or command line on the server. The main reason I want to be able to secure this is so that I can build a non-billing (doesn't require Meaningful Use) electronic health records application - I need a way to connect to a SQL database and access health information. SSL is a no-brainer, but that protects the transport... I am hoping that since I also have similar restrictions on what I can do to the database, that I can secure my connection strings and include a key to encrypt and decrypt data stored on the server from the application side since server side doesn't appear to be an option.
Проблема с простой расшифровкой по требованию в бэкэнде любой страницы, по-видимому, та же проблема, что и с оставлением строки подключения в файле web.config... хотя ни один из них не обслуживается пользователем на сайте, любой человек, имеющий доступ к файлам каталога сайта, может открыть файлы и получить строки подключения в любом случае.
Одним из возможных решений было бы просто арендовать виртуальный сервер, который дает мне возможность попробовать обычные маршруты, но это было бы непомерно дорого.
Что я уже пробовал:
До сих пор методы, которые я видел, требовали изменения настроек IIS через командную строку, расшифровки предварительно зашифрованной строки подключения в фоновом режиме страницы .cs и попытки использовать WebConfigurationManager a la это руководство, который прекрасно работает на локальном хосте, но доступ к нему запрещен, как только он развернут в производство.
Dave Kreskowiak
Пожалуйста, скажите мне, что вы не собираетесь размещать регулируемые HIPPA данные на общедоступном веб-сервере!? Вы открываете себя для проблем ответственности и суровых наказаний, если вы это сделаете. Подумайте, что от 100 до 50000 долларов умножают количество открытых записей участников на количество нарушений.
Обычно это то, что вы размещаете сами с опытом работы в области безопасности, а не на GoDaddy или любой другой государственной службе.
dfarr1
Прежде всего, вы не предложили никакого решения. Ясно, что здесь речь идет о защите данных, иначе в этом не было бы никакого смысла. Я здесь прошу помощи в защите web.config, что полезно, будь то EHR или любое другое веб-приложение, имеющее строки подключения, если уж на то пошло.
Dave Kreskowiak
Поскольку я работаю в сфере медицинского страхования, продолжайте и игнорируйте мой вопрос на свой страх и риск.
Gerry Schmitz
Вы можете предоставить "учетные данные" через код; он не должен входить в web.config.
Вы также не можете предполагать, что ISP / GoDaddy и данный "план хостинга" не являются безопасными; особенно если он включает выделенный сервер.