sql_azure_No ultimo dia 25 de Maio, eu postei aqui no blog da comunidade, algo que por mim e por muito pode ser considerado como uma falha. Isso gerou muita discussão no Twitter, ao passo que foi colocado como um tema a ser discutido dentro do fórum da comunidade AzureServiceBR. Depois de muita troca de e-mail com o gerente de produtos Azure no Brasil, o grande Luciano Condé, ao qual gostaria de agradecer a atenção dada a tal assunto.

Mas do que de verdade estou querendo expor referente ao Azure é que a falha não esta nele, mas sim expor dado dados que permitirá se conectar a ele.

Tentar ser mais claro… Se uma determinada empresa tem um parque computacional de servidores em Linux, mas deseja de agora em diante utilizar tecnologia Microsoft, e pra ele é muito interessante usar o SQL Azure, por que não o forçará a ter que comprar licenças para seus servidores. Junto com o SQL Azure a empresa que passar a desenvolver uma nova solução em Silverlight, os servidores Linux servirão única e exclusivamente para hostear a solução, os dados estarão nas nuvens. O problema é que se no momento do desenvolvimento, que para a equipe que vem de um ambiente não Microsoft, não sinalizar alguma opções o arquivo Web.config irá exibir os dados de conexão a esse banco Azure. Tudo bem em IIS por padrão o Web.config não é exposto, e se sinalizar algumas opções, o Web.config mesmo sendo exposto exibirá os dados criptografados.

A pergunta que não quer calar é que, se é uma boa pratica a sinalização dessas opções, por que não ser um padrão a auto criptografia desse arquivo?

A falha de segurança, volto a salientar, estar em ser exposto o arquivo Web.config em ambientes não Microsoft. Como dito neste pequeno posto, pode ocorrer tais situações, em especial para empresas que querem aos poucos migrar para ambiente Microsoft.

Um muito obrigado a comunidade AzureServiceBR na pessoa de Lucas Romão, e ao Luciano Condé que ficou até a meia noite e trinta, debatendo com este louco sobre tal assunto.

E como por e-mail brincamos muito com analogias, defendo a auto criptografia do Web.config, “é melhor ter, por que vai que” (Bradesco Seguros).

Washington Azevedo | @Azevedowlsa