Me falta algo ...¿Encriptar web.config usando la configuración protegida no tiene sentido?
Así que estoy en el proceso de descifrar la mejor manera de encriptar la cadena de conexión de la base de datos y la información de conexión de estado de la sesión sql en web.config. Rápidamente me encuentro un paseo a través de MSDN que explican mediante la configuración protegida para cifrar partes del web.config: MSDN walkthrough on using Protected Configuration
Así que estoy pensando en grande, hay un mecanismo para hacer esto y se ve muy simple. Llego al final del tutorial y proporcionan el código fuente de una página aspx que se puede utilizar para descifrar todas las cadenas de conexión.
¿Cuál es el punto? No tengo ningún servicio ftp ejecutándose en este servidor web, la única forma en que cualquiera va a ver web.config es si tienen acceso al sistema de archivos donde se publica el sitio web. Si tienen eso, entonces todo lo que tienen que hacer es usar el código provisto para desencriptar.
¿Qué me estoy perdiendo? ¿Hay una mejor manera de encriptar estos? Si lanzo una solución personalizada, ¿funcionará para la parte de estado de la sesión sql? (no crea que se elimine el bastón de web.config)