別稿「TIPS:[ASP.NET]構成ファイルのみでフォーム認証を実現するには?」では、web.configを利用したフォーム認証を紹介した。しかし、セキュリティに敏感な皆さんならば、きっと不安に思われた点があるはずだ。 web.configのようなテキスト・ファイルで平文(=暗号化されていない文)のパスワードを管理して、果たしてパスワード漏えいの心配はないのだろうか。なるほど、ASP.NETのデフォルトの設定では、Webブラウザ経由でweb.configにアクセスすることはできない。管理者が自らmachine.configの設定を変更しない限り、HTTP経由でパスワードが漏えいする心配はないだろう。しかし、サーバ上のファイル・システムに対して直接にアクセス可能なユーザーが、その平文のテキスト・ファイルにアクセスした場合はどうだろうか。 もちろん、適切なアクセス権限を設けておけば、むやみと