10 votes

user441365 avatar

Dois-je utiliser "Integrated Security=True" dans un environnement de production ?

Demandé el 18 de Octobre, 2010
Quand la question a-t-elle été
12920 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Est-ce une mauvaise pratique d'utiliser Integrated Security=True sur un serveur de production en ASP.NET ?

Demandé el 18 de Octobre, 2010 par user441365

Réponses

Trop de publicités?

8voto

Justin avatar
Justin Points 42106

Non - parfaitement sûr*

Tout ce que vous faites, c'est dire que vous allez utiliser les informations d'identification (généralement) de l'utilisateur Windows sous lequel le processus s'exécute afin de s'authentifier auprès du serveur SQL (au lieu de fournir un nom d'utilisateur et un mot de passe).

En fait, l'utilisation d'une sécurité intégrée est généralement considérée comme plus sûre.

(*) Bien sûr, cela dépend toujours de votre situation exacte, mais dans le cas général, c'est très bien.

Répondu el 18 de Octobre, 2010 par Justin (42106 Points )

1voto

Daniel Allen Langdon avatar
Daniel Allen Langdon Points 8365

Cela peut être une bonne ou une mauvaise chose en fonction du compte utilisé par IIS pour exécuter l'application web.

Quoi qu'il en soit, le fait que l'identifiant et le mot de passe de l'utilisateur SQL n'apparaissent pas dans la chaîne de connexion présente un avantage certain ; c'est toujours une bonne chose.

Cependant, vous devez configurer avec soin votre environnement de production. Je vous suggère de créer un compte d'utilisateur distinct pour IIS, qui sera utilisé pour exécuter l'application web. Ce compte d'utilisateur pourrait être configuré de manière à n'avoir accès qu'aux ressources SQL requises par votre application. Vous éviterez ainsi que d'autres applications soient facilement compromises au cas où la sécurité de votre application web serait compromise.

J'ai entendu des programmeurs faire des acrobaties lorsqu'une chaîne de connexion SQL avec l'identifiant et le mot de passe de l'utilisateur est chargée au moment de l'exécution à partir d'une ressource cryptée :-)

Répondu el 18 de Octobre, 2010 par Daniel Allen Langdon (8365 Points )

1voto

Gennady Vanin Геннадий Ванин avatar
Gennady Vanin Геннадий Ванин Points 3903

Réponse à la question du titre :
Vous ne devez pas toucher (ou moins utiliser) quoi que ce soit dans l'environnement de production tant que vous avez de telles questions ou de tels doutes !

Réponse à la question du corps :
Le serveur SQL en production ne devrait pas du tout être activé pour l'authentification du serveur SQL.

Mise à jour :
Je suis surpris de constater que toutes les réponses utilisent des possibilités probabilistes telles que "cela dépend", "dans certains cas", "plus".

Répondu el 19 de Octobre, 2010 par Gennady Vanin Геннадий Ванин (3903 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X