Nascondere le password del database per le stringhe di connessione ASP classiche

1

Guardando alcuni vecchi siti ASP classici che potrebbero fare un po 'di restringimento. La stringa di connessione al database del server SQL ha la password in chiaro in un file di inclusione sul server. Ovviamente questo è sgradevole dato che chiunque abbia accesso al server o al codice sorgente può ottenere accesso immediato al database (se ha accesso al firewall, ecc.)

Suppongo che ci sia una raccomandazione su come farlo in modo più sicuro (anche un DSN sarebbe meglio suppongo?)

Qualsiasi suggerimento accolto favorevolmente - si spera non sia un carico di "in che anno stiamo vivendo nei commenti"; -)

    
posta Steve 29.10.2015 - 10:42
fonte

1 risposta

1

Dovresti farlo nello stesso modo in cui lo fai ovunque: usa env vars.

Imposta O / S env var per l'utente foo. Esegui l'applicazione come utente foo. Solo foo o root possono leggere env var. Root può sempre leggere tutto, inclusi i file.

Env vars sono migliori dei file in quanto sono più sicuri per impostazione predefinita (mai rovinato un permesso file?) e ti impediscono di controllare accidentalmente le password nel controllo del codice sorgente, perché non puoi.

Vedi link

Se apri i processi figli, passa loro un ambiente pulito.

    
risposta data 29.10.2015 - 15:44
fonte

Leggi altre domande sui tag