Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Sammendrag

Oppdateringen som beskrives i Microsoft-sikkerhetsbulletin MS10-070, gjør endringer i standard krypteringsmekanisme i ASP.NET for å utføre validering (signering) i tillegg til kryptering. Denne artikkelen beskriver konfigurasjonsalternativene for å gå tilbake til den gamle virkemåten for kryptering i ASP.NET.

Hvis du vil ha mer informasjon om denne sikkerhetsoppdateringen, kan du gå til følgende webområde:

http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx

Mer informasjon

I ASP.NET kan brukere velge om de vil kryptere eller validere data ved hjelp av konfigurasjon i MachineKey-delen. Sikkerhetsoppdateringen som omhandles ved hjelp av sikkerhetsoppdatering MS10-070, endrer standard virkemåte for kryptering i ASP.NET for å utføre validering i tillegg til kryptering selv om det bare er bedt om kryptering.

Når du har installert sikkerhetsoppdateringen som er beskrevet i sikkerhetsbulletin MS10-070, utføres følgende operasjoner når kryptering er konfigurert for ASP.NET:

  • Ved kryptering av data genereres det en HMAC-signatur for de krypterte dataene som legges til den.

  • Ved dekryptering av data blir HMAC-signaturen validert før dataene dekrypteres.

Følgende nøkler i ASP.NET-programinnstillinger (appSettings) kontrollerer virkemåten for signering i tillegg til kryptering.

Nøkkel

Type

Standardverdi

Støttede on.NET-versjoner

aspnet:UseLegacyEncryption

Boolsk

Usann

Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

aspnet:UseLegacyMachineKeyEncryption

Boolsk

Usann

Microsoft .NET Framework 4.0

aspnet:ScriptResourceAllowNonJsFiles

Boolsk

Usann

Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

Beskrivelse av aspnet:UseLegacyEncryption appSetting

Denne programinnstillingen angir om kryptering også skal utføre validering med en HMAC-nøkkel selv når valideringsdelen i machineKey-delen i ASP.NET-konfigurasjonen ikke er konfigurert til validering av HMAC-signatur.

aspnet:UseLegacyEncryption

Beskrivelse

Usann (standard)

Denne innstillingen konfigurerer ASP.NET til også å utføre validering av HMAC-signatur når ASP.NET er konfigurert for bruk av kryptering. Dette skjer selv om validering i machineKey ikke er konfigurert til å signere ved hjelp av HMAC-nøkkel.

Sann

Denne innstillingen konfigurerer ASP.NET til ikke å utføre validering av HMAC-signatur når det er konfigurert til å bruke kryptering og ikke HMAC-signering ved hjelp av validering i machineKey.

Obs!  Denne innstillingen kan føre til at en ondsinnet klient kan dekryptere, skape eller annen måte endre data som er kryptert.


Hvis du vil konfigurere denne innstillingen, kan du legge til følgende konfigurasjon på datamaskinen eller i programfilen web.config:

<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration> 

Beskrivelse av aspnet:UseLegacyMachineKeyEncryption appSetting

Denne programinnstillingen angir om kryptering ved hjelp av klassen System.Web.Security.MachineKey også skal utføre validering med en HMAC-nøkkel selv når det angitte argumentet MachineKeyProtection ikke angir at validering skal utføres.

aspnet:UseLegacyMachineKeyEncryption

Beskrivelse

Usann (standard)

Denne innstillingen konfigurerer ASP.NET til også å utføre validering av HMAC signatur ved hjelp av klassen MachineKey når ASP.NET er konfigurert til å bruke kryptering. Dette skjer selv om det angitte argumentet MachineKeyProtection ikke angir at validering skal utføres.

Sann

Denne innstillingen konfigurerer ASP.NET til ikke å utføre validering av HMAC-signatur ved hjelp av MachineKey-klassen når programmet er konfigurert til å bruke kryptering og ikke HMAC-signering ved hjelp av det angitte argumentet MachineKeyProtection .

Obs!  Denne innstillingen kan føre til at en ondsinnet klient kan dekryptere, skape eller annen måte endre data som er kryptert.


Hvis du vil konfigurere denne innstillingen, kan du legge til følgende konfigurasjon på datamaskinen eller programfilen web.config:

<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration> 

Beskrivelse av aspnet:ScriptResourceAllowNonJsFiles appSetting

Denne programinnstillingen angir om behandlingsprogrammet ScriptResource.axd i ASP.NET skal betjene ikke-JavaScript-filer (filtypen JS). ScriptResource.axd er et ASP.NET-behandlingsprogram som returnerer JavaScript-kildefiler for AJAX-komponenter på en ASP.NET-webside.

aspnet:ScriptResourceAllowNonJsFiles

Beskrivelse

Usann (standard)

Denne innstillingen konfigurerer ASP.NET til bare å betjene statiske filer som har filtypen JS (JavaScript) ved hjelp av behandlingsprogrammet ScriptResource.axd.

Sann

Denne innstillingen konfigurerer ASP.NET til å betjene alle statiske filer som ASP.NET-programmet har tilgang til, ved hjelp av behandlingsprogrammet ScriptResource.axd.

Obs!  Denne innstillingen gjør det mulig for en hvilken som helst fil i ASP.NET-programmet å bli betjent ved hjelp av behandlingsprogrammet. Hvis noen slike filer inneholder sensitive eller konfidensielle data, kan denne innstillingen potensielt lekke sensitiv informasjon til en klient.


Hvis du vil konfigurere denne innstillingen, kan du legge til følgende konfigurasjon i web.config-filen for datamaskin eller program:

<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration> 

Referanser

Hvis du vil ha mer informasjon om MachineKey-delen, kan du gå til følgende Microsoft-webområde:

http://msdn.microsoft.com/nb-no/library/w8h3skw9.aspx Hvis du vil ha mer informasjon om klassen System.Web.Security.MachineKey, kan du gå til følgende Microsoft-webområde:

http://msdn.microsoft.com/nb-no/library/system.web.security.machinekey.aspxHvis du vil ha mer informasjon om hvordan du bruker programinnstilinger (appSettings), kan du klikke følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:

815786 Hvordan du kan lagre og hente egendefinert informasjon fra en konfigurasjonsfil for program ved hjelp av Visual C#
313405 Hvordan du kan lagre og hente egendefinert informasjon fra en konfigurasjonsfil for program ved hjelp av Visual Basic .NET eller Visual Basic 2005




Hvis du vil ha mer informasjon om ASP.Net-konfigurasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

307626 INFO: Oversikt over ASP.NET-konfigurasjon

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×