Resposta simples: sim. Criptografia - não funciona. Afinal, a string de conexão deve ser legível para o site ....);) Assim, um administrador sempre pode ter acesso a ele.
Apenas uma pergunta rápida. Ao usar hospedagem compartilhada, os administradores do sistema (empregados pelo host) podem acessar seus arquivos e ler os detalhes do seu banco de dados? Eles também podem acessar seu banco de dados e visualizar os arquivos, sem um connectionstring? Estou assumindo que há um certo nível de confiança, mas isso é possível / comum?
Sim, a menos que você criptografe coisas com chaves que o host não tem acesso, você sempre assume que o host pode ler tudo o que você coloca em seu servidor. Essa é uma regra geral para qualquer servidor. Independentemente das permissões que você definir, o administrador sempre poderá substituí-las.
Isso não fala com a ética da situação. É por isso que é fundamental ir com um host em que você confia, se você tiver dados confidenciais que serão armazenados em seus servidores. A confiança deve vir de muitas coisas, como um histórico comprovado, processos e políticas documentados e recomendações de outros clientes que estão fazendo a mesma coisa que você.
Você está fazendo perguntas que têm dois componentes ... é possível? Sim. Assim como seu navegador no "modo de navegação privada" agora ainda tem seu histórico da web rastreável no nível do ISP, seus hosts que possuem seu (s) servidor (es) podem ver seu tráfego de dados (se não estiver criptografado) e dependendo do arranjo do host. admin login para o seu servidor eles poderiam entrar nele (e se eles realmente quisessem eles poderiam invadir o servidor, mas você deveria notar se você tem software de monitoramento que o seu servidor caiu ... se você quer ser paranóico, eles poderiam ter roubado uma imagem do servidor para analisar forense mais tarde fora de sua visão).
É comum? Eu não me arriscaria, mas não trabalho para uma empresa de hospedagem. Eles provavelmente têm coisas melhores para fazer do que farejar seus servidores quando eles têm centenas ou mais clientes e possíveis processos judiciais e danos à reputação se um ex-funcionário sair por aí falando sobre coisas legais que eles obtiveram nos servidores da XYZ Corporation.
Mas é mais do que possível, especialmente se eles estão nos EUA e têm um mandado do FBI para obter dados sobre sua empresa. Se forem como bibliotecas, eles são informados de que precisam entregar os dados sem informar que estão fazendo isso, ou coletar tráfego de dados e entregá-lo sem avisar você. Criptografe tudo e você fica muito mais difícil.
Já está feito com as empresas policiais e de telefonia celular (conversas e dados de GPS). Muito comum lá, mas você está perguntando sobre hospedagem de servidor e dados, não de telecomunicações.
Tudo o que é compartilhado tem a possibilidade de ser acessado por alguém além de você;
no que diz respeito a empresas de hospedagem, como Bart mencionou que eles têm vários outros trabalhos para fazer, em vez de farejar dados de qualquer pessoa; mas a maior parte do roubo na indústria de varejo, a indústria de computação é de dentro. então fique longe de hospedar qualquer coisa que você não queira compartilhar com ninguém.
A conclusão é que eles são os administradores, o trabalho deles é gerenciar o servidor e os dados nele, então eles precisam de acesso a ele. Você poderia tentar criptografar coisas, mas você só causaria problemas para si mesmo por mais tempo. Na pior das hipóteses, se o host tiver que restaurar uma carga de dados para você após uma falha de hardware, eles podem não conseguir recuperá-lo. E você não teria uma perna para ficar em pé, como teria sido você que os trancou.
Administradores de sistemas de servidores privados virtuais e hospedagem compartilhada têm raiz de acesso de administrador a todo o sistema. Eles precisam disso para fazer seu trabalho. Agora, os funcionários do call center da linha de frente podem não ter acesso de administrador, mas um acesso limitado ao tipo de help desk para tarefas comuns, como redefinições de senha, etc.
Os administradores do sistema profissional não acessarão os sites e dados de outras empresas sem propósito. Os motivos válidos incluem legal (ou seja, mandados judiciais, intimações, mandados de segurança) que podem ou não incluir uma ordem de sigilo, técnico incluindo configuração do servidor, atualização, administração, revisões de log e segurança de computador / rede - procurando evidências de possíveis usuários mal-intencionados / invasores tentando obter acesso não autorizado.
Dito isso, só vi colegas de trabalho abusarem de seu acesso a conteúdo premium, principalmente material adulto. E tem havido inúmeros casos de "vingança" contra o acesso não autorizado de cônjuges, parceiros e / ou companheiras que fizeram a imprensa.
Na maior parte, tende a não ser um problema sério, mas acontece.
Os administradores de sistema podem ler, acessar e interpretar tudo o que você armazena e faz em seus sistemas, bancos de dados incluídos. A única coisa que eles não podem interpretar é qualquer um dos seus arquivos criptografados (a menos que eles tenham instalado um keylogger em sua GUI ou em seu shell de linha de comando, o keylogger permitiria que eles obtivessem sua frase secreta e, assim, descriptografassem seus arquivos).