Ocultar las contraseñas de la base de datos para cadenas de conexión ASP clásicas

Navega tus respuestas
1

Observando algunos sitios ASP clásicos antiguos que podrían funcionar con un poco de ajuste. La cadena de conexión de la base de datos del servidor SQL tiene la contraseña en texto sin cifrar dentro de un archivo de inclusión en el servidor. Obviamente, esto es desagradable ya que cualquier persona con acceso al servidor o el código fuente puede obtener acceso inmediato a la base de datos (si tienen acceso a un firewall, etc.).

Supongo que hay una recomendación sobre cómo hacer esto de forma más segura (incluso supongo que sería mejor un DSN)

Cualquier sugerencia bienvenida, espero que no sea una carga de "en qué año estamos viviendo los comentarios" ;-)

    
pregunta Steve 29.10.2015 - 10:42
fuente

1 respuesta

1

Debería hacerlo de la misma manera que en cualquier otro lugar: use env vars.

Establezca O / S env var para el usuario foo. Ejecutar la aplicación como usuario foo. Solo foo o root pueden leer que env var. Root siempre puede leer todo, incluidos los archivos.

Las variables env del entorno son mejores que los archivos, ya que son más seguras de forma predeterminada (¿alguna vez arruinó un permiso de archivo?) y le impiden ingresar accidentalmente las contraseñas en el control de código fuente porque no puede.

Consulte enlace

Si está abriendo procesos secundarios, páseles un entorno limpio.

    
respondido por el Neil McGuigan 29.10.2015 - 15:44
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son algunos comandos de Linux para generar y verificar firmas digitales? Volver a emitir certificados con SHA-2