किसी व्यवस्थापक के लिए समूह को संशोधित करना आसान बनाने के प्रयास में उपयोगकर्ताओं को मेरे एएसपी .NET एमवीसी वेब एप्लिकेशन के खिलाफ अधिकृत किया गया है, मैंने अपने वेब.कॉन्फिग में एपसेटिंग के रूप में समूह के नाम रखे हैं।क्या वेब.कॉन्फिग फ़ाइल में संवेदनशील जानकारी डालना बुरा व्यवहार है?
<add key="User" value="VDP ICMD Users"/>
<add key="SuperUser" value="VDP ICMD Super Users"/>
<add key="Administrator" value="VDP ICMD Administrator"/>
वास्तविक सक्रिय निर्देशिका समूह नाम से संबंधित मान। तब मेरे नियंत्रकों, अपने कस्टम AuthorizeAttribute
का उपयोग करने में मैं बस लिख सकते हैं
[AuthorizeAD(GroupKeys = "User")]
मेरे सवाल है, यह बुरा व्यवहार एक Web.config फ़ाइल में समूह के नाम, जहां वे आसानी से बदला जा जा सकती है, जैसी संवेदनशील जानकारी डाल करने के लिए है? क्या सर्वर के लिए लॉग इन करने के अलावा किसी के लिए Web.config फ़ाइल तक पहुंचना आसान है?
किसी को अपने सर्वर पर हो और अपने web.config का उपयोग कर सकते हैं, तो आप के बारे में चिंता करने के लिए बड़ी समस्याओं है ... –
समूह नाम अपने वेब साइट के साथ ई के खिलाफ काम कर प्रमाणीकरण प्रॉपर्टी के लिए एक महत्वपूर्ण है। यह आपके संगठन में कोई व्यक्ति उच्च प्रतिबंध वाले समूह में है, वह वेब तक पहुंच कर प्रावधानों को बढ़ा सकता है।कॉन्फ़िग फ़ाइल और बस जोड़ने/संस्करण समूह के नाम उदाहरण –
सहमत @Justin Satyr के लिए विशेषाधिकार लिखने/संपादन ऊंचे होने का। मैं इसके बारे में चिंतित नहीं हूं, यह sys व्यवस्थापक का काम है। मैं अधिक चिंतित हूं अगर कोई सर्वर तक पहुंच के बिना कॉन्फ़िगरेशन फ़ाइल को बदल या देख सकता है। – link664