Es una mala práctica usar Integrated Security=True en un servidor de producción en ASP.NET?

Es este por una cadena de conexión en el archivo de configuración?
sí para el archivo de configuración

OriginalEl autor user441365 | 2010-10-18

3 Comentarios

  1. 8

    Nope – perfectamente seguro*

    Todo lo que están haciendo está diciendo que usted va a utilizar las credenciales de (generalmente) el usuario de Windows que está ejecutando el proceso bajo con el fin de autenticar con SQL Server (por oposición a suministrar un nombre de usuario y contraseña).

    De hecho, en general, el uso integrado de seguridad se considera más seguro.

    (*) Por supuesto, siempre depende de su situación exacta, pero en el caso general, sí su multa.

    Hmm, han considerado que este podría no ser necesariamente cierto para un servidor web? Si está en peligro, el dbase de la tienda es amplia. Mantener una contraseña segura en un servidor no es difícil, hay un bloqueo en el servidor de la puerta de la habitación.
    a menos que usted está bromeando, que un pobre argumento. Si el servidor está comprometido el atacante también podrían tener acceso a sql base de conexión u/p, así que no es mejor que la integrada. En ambos casos, la facilidad con que el atacante puede obtener a partir de esa posición para acceder a la DB y lo mucho que pueden hacer dependen de la configuración específica. Si usted realmente desea proteger en contra de que el escenario no tener el servidor web golpear la base de datos directamente.
    nope, no utilice un smiley. Se trabaja a partir de la suposición de que el atacante podría utilizar una conexión existente. La que está haciendo el disco duro si la seguridad integrada está activado. Sólo podía crear su propia conexión, no es necesario proporcionar una difícil adivinar nombre de usuario+contraseña.
    si he entendido correctamente, lo que está describiendo no es una cuestión de permitir integrado, es un problema de configuración de permisos en el servidor sql server para Todos los usuarios en lugar de específicamente para la identidad del grupo de aplicaciones.
    usted podría preocuparse un poco acerca de la Internet tener alguna el acceso a la dbase de la tienda. Si el servidor web local no tiene acceso, entonces debe haber ninguno. Muy difícil conseguir un trabajo. Lo siento, esta conversación es desconcertante para mí. Escuchar a @egalsius, que recibe el comentario upvotes.

    OriginalEl autor Justin

  2. 1

    Esto puede ser una cosa buena o una cosa mala, dependiendo de la cuenta que IIS está utilizando para ejecutar la aplicación web.

    En cualquier caso, hay una clara ventaja de que el id de usuario de SQL y la contraseña no aparece en la cadena de conexión; siempre una buena cosa.

    Sin embargo, usted debe cuidadosamente la configuración de su entorno de producción. Me permito sugerir que usted cree una clara cuenta de usuario de IIS para utilizar para ejecutar la aplicación web. Que la cuenta de usuario puede ser configurado para tener acceso a sólo el SQL recursos requeridos por la aplicación. Que lo protegen de otras aplicaciones fácilmente deducibles en el caso de que la aplicación web que está comprometida la seguridad.

    He oído hablar de los programadores haciendo acrobacias donde una cadena de conexión de SQL con el id de usuario y la contraseña se carga en tiempo de ejecución de un cifrado de recursos 🙂

    La acrobacia? No hay soporte para la encriptación de cadenas de conexión de SQL. No es especialmente difícil.
    es mucho mejor para bloquear los permisos de la cuenta de SQL que acaba de cifrar la cadena de conexión a solas. Yo prefiero usar procedimientos almacenados para el 100% de acceso de SQL y sólo permitir el permiso de ejecución para el usuario. De esta forma, incluso si un atacante tiene la contraseña, se puede hacer poco más que lo que la aplicación puede hacer a sí mismo. Sin embargo, el uso de ambos permisos de SQL y una conexión cifrada de la cadena sería la mejor opción.
    Estoy de acuerdo en que tomar varias precauciones, es una buena práctica. Cómo: proteger las Cadenas de Conexión cuando el Uso de Controles de Origen de Datos

    OriginalEl autor Daniel Allen Langdon

  3. 1

    Respuesta a la pregunta del título:

    Usted no debe tocar (menos uso) nada en el entorno de producción, mientras que usted está teniendo dudas o preguntas!

    Respuesta a cuerpo pregunta:

    SQL Server en producción no debe estar habilitado para la autenticación de SQL Server en todos los

    Actualización:

    Me sorprende ver que todas las respuestas que utilizar probabilístico «depende», «en algunos casos», «más» posibilidades.

    OriginalEl autor Gennady Vanin Геннадий Ванин

Dejar respuesta

Please enter your comment!
Please enter your name here