Sto memorizzando le password del database in app.config come testo normale. Sto anche pubblicando l'applicazione.
Quanto è sicura la password memorizzata in app.config? Posso usare un disassemblatore e trovarlo?
No, non puoi trovare la password con un disassemblatore. Ma puoi leggere chiaramente come giorno se qualcuno compromette il tuo server web. Per lo meno, controlla questi link:
Ancora meglio, non utilizzare SQL Server Security e invece utilizzare Integrated Security e consentire solo all'account di eseguire l'app Web (pool) per accedere al DB.