Nel tentativo di semplificare la modifica dei gruppi ai quali gli utenti sono autorizzati contro nell'applicazione Web ASP .NET MVC, ho inserito i nomi dei gruppi nel mio Web.config come appSettings.È una cattiva pratica mettere le informazioni sensibili in un file Web.config?
<add key="User" value="VDP ICMD Users"/>
<add key="SuperUser" value="VDP ICMD Super Users"/>
<add key="Administrator" value="VDP ICMD Administrator"/>
I valori relativi ai nomi di gruppi attuali di Active Directory. Poi, nel mio controller, utilizzando mia abitudine AuthorizeAttribute
posso semplicemente scrivere
[AuthorizeAD(GroupKeys = "User")]
La mia domanda è, è cattiva pratica per inserire le informazioni sensibili come i nomi dei gruppi in un file web.config in cui possono essere facilmente modificati? È facile per qualcuno accedere al file Web.config se non effettuando l'accesso al server stesso?
Se qualcuno può accedere al tuo server e accedere a web.config, ci sono problemi più grandi di cui preoccuparsi ... –
I nomi di gruppo sono una chiave per la corretta autenticazione di lavoro contro AD con il tuo sito web. Qualcuno nella tua organizzazione è nel gruppo con restrizioni più elevate, può elevare i privilegi accedendo al web.file di configurazione e semplicemente aggiungendo/nomi di gruppi di versioni per elevare i privilegi di scrittura/modifica, ad esempio –
Concordato @Justin Satyr. Non sono preoccupato per questo, questo è il lavoro dell'amministratore di sistema. Sono più preoccupato se qualcuno può modificare o addirittura visualizzare il file di configurazione senza ottenere l'accesso al server. – link664