Итак, я использую строки подключения в своем web.config, используя проверку подлинности SQL.
Конечно, люди говорят, что это может быть уязвимость, поскольку вы храните пароль в открытом тексте.
Однако из того, что я знаю, IIS никогда не обслуживает web.config, а web.config должен иметь доступ только для чтения к администраторам и IIS. Поэтому, если хакер получил доступ к веб-серверу, то не имеет значения, какое шифрование я использую, потому что закрытый ключ будет на веб-сервере.
Не будет ли шифрование строки соединения классифицироваться как защита через обфускацию?
Стоит ли шифровать строку подключения web.config и хранить закрытый ключ на веб-сервере?
Кроме того, конечно, если я не использую SSL, я передаю строку соединения по HTTP в текстовом виде. Если я использую SSL, эта проблема также должна быть смягчена.