Sammendrag
Oppdateringen som beskrives i Microsoft-sikkerhetsbulletin MS10-070, gjør endringer i standard krypteringsmekanisme i ASP.NET for å utføre validering (signering) i tillegg til kryptering. Denne artikkelen beskriver konfigurasjonsalternativene for å gå tilbake til den gamle virkemåten for kryptering i ASP.NET.
Hvis du vil ha mer informasjon om denne sikkerhetsoppdateringen, kan du gå til følgende webområde:
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
Mer informasjon
I ASP.NET kan brukere velge om de vil kryptere eller validere data ved hjelp av konfigurasjon i MachineKey-delen. Sikkerhetsoppdateringen som omhandles ved hjelp av sikkerhetsoppdatering MS10-070, endrer standard virkemåte for kryptering i ASP.NET for å utføre validering i tillegg til kryptering selv om det bare er bedt om kryptering.
Når du har installert sikkerhetsoppdateringen som er beskrevet i sikkerhetsbulletin MS10-070, utføres følgende operasjoner når kryptering er konfigurert for ASP.NET:
-
Ved kryptering av data genereres det en HMAC-signatur for de krypterte dataene som legges til den.
-
Ved dekryptering av data blir HMAC-signaturen validert før dataene dekrypteres.
Følgende nøkler i ASP.NET-programinnstillinger (appSettings) kontrollerer virkemåten for signering i tillegg til kryptering.
Nøkkel |
Type |
Standardverdi |
Støttede on.NET-versjoner |
---|---|---|---|
aspnet:UseLegacyEncryption |
Boolsk |
Usann |
Microsoft .NET Framework 2.0 Service Pack 1 |
aspnet:UseLegacyMachineKeyEncryption |
Boolsk |
Usann |
Microsoft .NET Framework 4.0 |
aspnet:ScriptResourceAllowNonJsFiles |
Boolsk |
Usann |
Microsoft .NET Framework 3.5 Service Pack 1 |
Beskrivelse av aspnet:UseLegacyEncryption appSetting
Denne programinnstillingen angir om kryptering også skal utføre validering med en HMAC-nøkkel selv når valideringsdelen i machineKey-delen i ASP.NET-konfigurasjonen ikke er konfigurert til validering av HMAC-signatur.
aspnet:UseLegacyEncryption |
Beskrivelse |
---|---|
Usann (standard) |
Denne innstillingen konfigurerer ASP.NET til også å utføre validering av HMAC-signatur når ASP.NET er konfigurert for bruk av kryptering. Dette skjer selv om validering i machineKey ikke er konfigurert til å signere ved hjelp av HMAC-nøkkel. |
Sann |
Denne innstillingen konfigurerer ASP.NET til ikke å utføre validering av HMAC-signatur når det er konfigurert til å bruke kryptering og ikke HMAC-signering ved hjelp av validering i machineKey. |
Hvis du vil konfigurere denne innstillingen, kan du legge til følgende konfigurasjon på datamaskinen eller i programfilen web.config:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>
Beskrivelse av aspnet:UseLegacyMachineKeyEncryption appSetting
Denne programinnstillingen angir om kryptering ved hjelp av klassen System.Web.Security.MachineKey også skal utføre validering med en HMAC-nøkkel selv når det angitte argumentet MachineKeyProtection ikke angir at validering skal utføres.
aspnet:UseLegacyMachineKeyEncryption |
Beskrivelse |
---|---|
Usann (standard) |
Denne innstillingen konfigurerer ASP.NET til også å utføre validering av HMAC signatur ved hjelp av klassen MachineKey når ASP.NET er konfigurert til å bruke kryptering. Dette skjer selv om det angitte argumentet MachineKeyProtection ikke angir at validering skal utføres. |
Sann |
Denne innstillingen konfigurerer ASP.NET til ikke å utføre validering av HMAC-signatur ved hjelp av MachineKey-klassen når programmet er konfigurert til å bruke kryptering og ikke HMAC-signering ved hjelp av det angitte argumentet MachineKeyProtection . |
Hvis du vil konfigurere denne innstillingen, kan du legge til følgende konfigurasjon på datamaskinen eller programfilen web.config:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>
Beskrivelse av aspnet:ScriptResourceAllowNonJsFiles appSetting
Denne programinnstillingen angir om behandlingsprogrammet ScriptResource.axd i ASP.NET skal betjene ikke-JavaScript-filer (filtypen JS). ScriptResource.axd er et ASP.NET-behandlingsprogram som returnerer JavaScript-kildefiler for AJAX-komponenter på en ASP.NET-webside.
aspnet:ScriptResourceAllowNonJsFiles |
Beskrivelse |
---|---|
Usann (standard) |
Denne innstillingen konfigurerer ASP.NET til bare å betjene statiske filer som har filtypen JS (JavaScript) ved hjelp av behandlingsprogrammet ScriptResource.axd. |
Sann |
Denne innstillingen konfigurerer ASP.NET til å betjene alle statiske filer som ASP.NET-programmet har tilgang til, ved hjelp av behandlingsprogrammet ScriptResource.axd. |
Hvis du vil konfigurere denne innstillingen, kan du legge til følgende konfigurasjon i web.config-filen for datamaskin eller program:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>
Referanser
Hvis du vil ha mer informasjon om MachineKey-delen, kan du gå til følgende Microsoft-webområde:
http://msdn.microsoft.com/nb-no/library/w8h3skw9.aspx Hvis du vil ha mer informasjon om klassen System.Web.Security.MachineKey, kan du gå til følgende Microsoft-webområde:
http://msdn.microsoft.com/nb-no/library/system.web.security.machinekey.aspxHvis du vil ha mer informasjon om hvordan du bruker programinnstilinger (appSettings), kan du klikke følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:
815786 Hvordan du kan lagre og hente egendefinert informasjon fra en konfigurasjonsfil for program ved hjelp av Visual C#
313405 Hvordan du kan lagre og hente egendefinert informasjon fra en konfigurasjonsfil for program ved hjelp av Visual Basic .NET eller Visual Basic 2005
Hvis du vil ha mer informasjon om ASP.Net-konfigurasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
307626 INFO: Oversikt over ASP.NET-konfigurasjon