¿Cifrar un valor en el archivo web.config realmente proporciona alguna protección real? Me parece que cualquier aplicación web puede leer esa configuración. Sí, eso es más trabajo que solo leer el archivo web.config, pero no es una gran diferencia si tienes el control del sistema.
No, cuando cifras una sección web.config, especificas a qué aplicación y sitio pertenece la configuración. El contenedor será específico para ese sitio y aplicación, y no será accesible para otras aplicaciones.
Si controla el sistema, puede hacer lo que quiera, incluso descifrando la sección. No hay protección contra el propietario de la caja.
La mayor protección que obtiene aquí es contra el archivo web.config que se está filtrando. Si una parte maliciosa obtiene una copia del archivo, los datos confidenciales que contiene no pueden usarse para atacarle si están cifrados.
Lea otras preguntas en las etiquetas encryption configuration asp.net .net iis