Если я шифрую секцию строки подключения, любой , у кого есть файл web.config, может повторно зашифровать информацию.
Нет ключа пароля, который известен только мне или чему-то подобному....
Какая идея здесь? Любой, кто будет иметь этот web.config с VS, сможет расшифровать информацию...
Я не понимаю...
Вы ошибочно предполагаете, что любой может расшифровать файл web.config. После того, как секция файла конфигурации зашифрована, ее можно дешифровать только на машине той же (или машине, у которой есть тот же ключ - это для веб-ферм).
Обычно довольно просто загрузить фактический web.config удаленно (через уязвимости). Но злоумышленник не будет иметь ваш ключ, а не сможет расшифровывать файл (или разделы с конфиденциальными данными).
Здесь вы должны доверять хосту вашего сайта, то есть чувствительный ключ не будет распространяться.
Вы можете указать поставщика шифрования, но по умолчанию используется поставщик RSA. Используется ключ, но он "секрет". Таким образом, кому-то понадобятся привилегии для запуска приложений на вашем сервере или неограниченный доступ к файловой системе, чтобы дешифровать ваш web.config.
Это (особенно шаг 2) говорит об этом:
Я не знаю, использует ли инструмент aspnet_regiis.exe ключи для шифрования или дешифрования web.config. Но Если он хранится в файле web.config, он будет дешифрован всем, у кого установлен aspnet_regiis utlility, но если он хранится в файле machine.config или в .Net Framework компьютера, а не будет расшифрован кем-либо.