Σύνοψη
Η ενημερωμένη έκδοση ασφαλείας που περιγράφεται στο ενημερωτικό δελτίο ασφαλείας MS10-070 πραγματοποιεί αλλαγές τον προεπιλεγμένο μηχανισμό κρυπτογράφησης στο ASP.NET για να εκτελέσει την επικύρωση (υπογραφή) εκτός από την κρυπτογράφηση. Αυτό το άρθρο περιγράφει τις επιλογές ρύθμισης παραμέτρων, για να επιστρέψετε σε συμπεριφορά παλαιού τύπου για κρυπτογράφηση στα ASP.NET.For περισσότερες πληροφορίες σχετικά με αυτήν την ενημερωμένη έκδοση ασφαλείας, επισκεφθείτε την ακόλουθη τοποθεσία Web:
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
Περισσότερες πληροφορίες
ASP.NET επιτρέπει στους χρήστες να κρυπτογραφήσετε ή να επικυρώσετε δεδομένα μέσω της ρύθμισης παραμέτρων στην ενότητα MachineKey προαιρετικά. Η ενημερωμένη έκδοση ασφαλείας που εξετάζεται από την ασφάλεια ενημέρωση αλλαγών MS10-070 την προεπιλεγμένη συμπεριφορά κρυπτογράφησης στο ASP.NET για να εκτελέσετε την επικύρωση εκτός από την κρυπτογράφηση, ακόμη και αν απαιτείται κρυπτογράφηση μόνο του. Μετά την εγκατάσταση της ενημερωμένης έκδοσης ασφαλείας που περιγράφεται στο ενημερωτικό δελτίο ασφαλείας MS10-070, τις ακόλουθες λειτουργίες εκτελούνται όταν η κρυπτογράφηση ορίζεται για το ASP.NET:
-
Κατά την κρυπτογράφηση των δεδομένων, μια υπογραφή HMAC δημιουργούνται για τα κρυπτογραφημένα δεδομένα και έχει προσαρτηθεί σε αυτό.
-
Κατά την αποκρυπτογράφηση των δεδομένων, επικύρωση της υπογραφής HMAC, πριν από την αποκρυπτογράφηση των δεδομένων.
Τα ακόλουθα κλειδιά στο ASP.NET εφαρμογή ρυθμίσεων (appSettings) στοιχείο ελέγχου τη συμπεριφορά των επιπλέον υπογραφή για την κρυπτογράφηση.
|
Κλειδί |
Τύπος |
Προεπιλεγμένη τιμή |
On.NET υποστηριζόμενες εκδόσεις |
|---|---|---|---|
|
aspnet:UseLegacyEncryption |
Δυαδική τιμή |
FALSE (ψευδές) |
Microsoft .NET Framework 2.0 υπηρεσία Pack 1Microsoft .NET Framework 2.0 υπηρεσία Pack 2Microsoft .NET Framework 3.5Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
|
aspnet:UseLegacyMachineKeyEncryption |
Δυαδική τιμή |
FALSE (ψευδές) |
Microsoft .NET Framework 4.0 |
|
aspnet:ScriptResourceAllowNonJsFiles |
Δυαδική τιμή |
FALSE (ψευδές) |
Το Microsoft.NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
Περιγραφή του το appSetting aspnet:UseLegacyEncryption
Αυτή η ρύθμιση εφαρμογής Καθορίζει αν κρυπτογράφησης θα επιπλέον εκτελέσει επικύρωση με ένα κλειδί HMAC ακόμα και όταν η ενότητα επικύρωσης στην ενότητα machineKey της ρύθμισης παραμέτρων του ASP.NET δεν έχει ρυθμιστεί για επικύρωση της υπογραφής HMAC.
|
aspnet:UseLegacyEncryption |
Περιγραφή |
|---|---|
|
Η τιμή FALSE (προεπιλογή) |
Αυτή η ρύθμιση ρυθμίζει τις παραμέτρους του ASP.NET για να πραγματοποιήσετε επιπλέον επικύρωση υπογραφής HMAC κατά τη ρύθμιση παραμέτρων του ASP.NET για να χρησιμοποιήσετε κρυπτογράφηση. Αυτό θα συμβεί ακόμη και αν επικύρωσης στο machineKey δεν έχει ρυθμιστεί για να συνδεθείτε χρησιμοποιώντας ένα κλειδί HMAC. |
|
TRUE |
Αυτή η ρύθμιση ρυθμίζει τις παραμέτρους του ASP.NET να εκτελέσετε HMAC επικύρωση υπογραφής, όταν έχει ρυθμιστεί να χρησιμοποιεί κρυπτογράφηση και όχι οι HMAC υπογραφή μέσω επικύρωσης στο machineKey. Σημείωση Αυτή η ρύθμιση θα μπορούσε να επιτρέψει σε ένα κακόβουλο πρόγραμμα-πελάτης για την αποκρυπτογράφηση, Πλάστε ή αλλιώς αλλοίωσης των κρυπτογραφημένων δεδομένων. |
Για να ρυθμίσετε τις παραμέτρους αυτής της ρύθμισης, προσθέστε την ακόλουθη ρύθμιση παραμέτρων στο αρχείο web.config υπολογιστή ή την εφαρμογή:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>
Περιγραφή της aspnet:UseLegacyMachineKeyEncryption appSetting
Αυτή η ρύθμιση εφαρμογής Καθορίζει αν κρυπτογράφησης μέσω της κλάσης System.Web.Security.MachineKey θα επιπλέον εκτελέσει επικύρωση με ένα κλειδί HMAC ακόμα και όταν το όρισμα που δόθηκε MachineKeyProtection δεν καθορίσετε ότι να πραγματοποιηθεί η επικύρωση.
|
aspnet:UseLegacyMachineKeyEncryption |
Περιγραφή |
|---|---|
|
Η τιμή FALSE (προεπιλογή) |
Αυτή η ρύθμιση ρυθμίζει τις παραμέτρους του ASP.NET για να πραγματοποιήσετε επιπλέον HMAC επικύρωση υπογραφής μέσω της κλάσης MachineKey κατά τη ρύθμιση παραμέτρων του ASP.NET για να χρησιμοποιήσετε κρυπτογράφηση. Αυτό θα συμβεί ακόμη και αν το παρεχόμενο MachineKeyProtection όρισμα δεν καθορίζει την εκτέλεση της επικύρωσης. |
|
TRUE |
Αυτή η ρύθμιση ρυθμίζει τις παραμέτρους του ASP.NET να εκτελέσετε HMAC επικύρωση υπογραφής μέσω της κλάσης MachineKey όταν έχει ρυθμιστεί να χρησιμοποιεί κρυπτογράφηση και όχι οι HMAC υπογραφή μέσω του υπό τον όρο ότι το όρισμα MachineKeyProtection . Σημείωση Αυτή η ρύθμιση θα μπορούσε να επιτρέψει σε ένα κακόβουλο πρόγραμμα-πελάτης για την αποκρυπτογράφηση, Πλάστε ή αλλιώς αλλοίωσης των κρυπτογραφημένων δεδομένων. |
Για να ρυθμίσετε τις παραμέτρους αυτής της ρύθμισης, προσθέστε την ακόλουθη ρύθμιση παραμέτρων στο αρχείο web.config υπολογιστή ή την εφαρμογή:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>
Περιγραφή της aspnet:ScriptResourceAllowNonJsFiles appSetting
Αυτή η ρύθμιση εφαρμογής Καθορίζει αν το πρόγραμμα χειρισμού ScriptResource.axd στο ASP.NET θα εξυπηρετεί αρχεία μη JavaScript (επέκταση .js). ScriptResource.axd είναι ένα πρόγραμμα χειρισμού ASP.NET που επιστρέφει JavaScript αρχεία προέλευσης σε μια ιστοσελίδα ASP.NET AJAX στοιχεία.
|
aspnet:ScriptResourceAllowNonJsFiles |
Περιγραφή |
|---|---|
|
Η τιμή FALSE (προεπιλογή) |
Αυτή η ρύθμιση ρυθμίζει τις παραμέτρους του ASP.NET για την εξυπηρέτηση μόνο στατικό αρχεία που έχουν την επέκταση .js (JavaScript) μέσω του προγράμματος χειρισμού ScriptResource.axd. |
|
TRUE |
Αυτή η ρύθμιση ρυθμίζει τις παραμέτρους του ASP.NET για να καλύψετε τυχόν στατικό αρχείο ότι η εφαρμογή ASP.NET έχει πρόσβαση μέσω του προγράμματος χειρισμού ScriptResource.axd. Σημείωση Αυτή η ρύθμιση επιτρέπει σε οποιοδήποτε αρχείο μέσα εφαρμογής ASP.NET για να εξυπηρετούνται μέσω του προγράμματος χειρισμού. Εάν τα εν λόγω αρχεία περιέχει ευαίσθητα ή εμπιστευτικά δεδομένα, στη συνέχεια, αυτή η ρύθμιση να πιθανώς διαρροή ευαίσθητων πληροφοριών σε έναν υπολογιστή-πελάτη. |
Για να ρυθμίσετε τις παραμέτρους αυτής της ρύθμισης, προσθέστε την ακόλουθη ρύθμιση παραμέτρων στο αρχείο web.config υπολογιστή ή την εφαρμογή:
<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>
Αναφορές
Για περισσότερες πληροφορίες σχετικά με την ενότητα MachineKey, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxΓια περισσότερες πληροφορίες σχετικά με την κλάση System.Web.Security.MachineKey , επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxΓια περισσότερες πληροφορίες σχετικά με τον τρόπο χρήσης των ρυθμίσεων εφαρμογής (appSettings), κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:
815786 Τρόπος αποθήκευσης και ανάκτησης προσαρμοσμένες πληροφορίες από ένα αρχείο ρύθμισης παραμέτρων εφαρμογής χρησιμοποιώντας το Visual C# 313405 Τρόπος αποθήκευσης και ανάκτησης προσαρμοσμένες πληροφορίες από ένα αρχείο ρύθμισης παραμέτρων εφαρμογής χρησιμοποιώντας το Visual Basic .NET ή Visual Basic 2005Για περισσότερες πληροφορίες σχετικά με τη ρύθμιση παραμέτρων του ASP.Net, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
307626 ΠΛΗΡΟΦΟΡΙΕΣ: Επισκόπηση της ρύθμισης παραμέτρων ASP.NET
