域用户作为应用程序池身份-安全漏洞？

Question

我们正在为我们的内部网开发一些web应用程序和web服务。要访问数据库或其他数据源等资源，我们使用技术域用户，并将他们的凭据存储在web应用程序的配置文件中。密码必须在写入文件之前加密。(然后应用程序必须对其进行解密才能访问资源。)

我们这样做了很长一段时间，但现在出现了一场讨论。我们的服务器运营团队突然认为将密码存储在配置文件中是不安全的，因为攻击者可能会通过分析用于加密的小工具来成功解密它。(它是用.Net编写的，所以使用Reflector &Co.来分析所使用的算法实际上并不难。)作为替代方案，他们建议使用技术用户帐户作为应用程序池安全上下文。但我不确定这是否意味着用一个实际的安全漏洞替换一个可能的安全漏洞:如果应用程序池在域用户的上下文中运行，攻击者就不再需要知道密码。他可以简单地利用应用程序中的安全漏洞，或者尝试以某种方式在此应用程序池中运行自己的代码。

你是什么意思？有没有在web应用程序中处理密码的最佳实践？

谢谢，Rocko

Answer 1

这是域用户运行应用程序的一种非常常见的做法。只需确保该帐户的占用空间非常小-只需满足需要即可。