Sådan konfigurerer du en ældre krypteringstilstand i ASP.NET

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 2425938 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

Sammenfatning

Den sikkerhedsopdatering, der beskrives i Microsofts sikkerhedsbulletin MS10-070, foretager ændringer i standardkrypteringsmekanismen i ASP.NET, så der både udføres validering (signering) og kryptering. Denne artikel indeholder en beskrivelse af mulighederne for at vende tilbage til den oprindelige funktionsmåde for kryptering i ASP.NET.

Du kan finde flere oplysninger om denne sikkerhedsopdatering på følgende websted:
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx

Yderligere Information

Med ASP.NET kan brugere vælge mellem at kryptere eller validere data via konfiguration under MachineKey. Den sikkerhedsopdatering, der behandles i sikkerhedsbulletin MS10-070, ændrer standardfunktionsmåden for kryptering i ASP.NET, så der både udføres validering og kryptering, selvom der kun anmodes om kryptering.

Når du har installeret den sikkerhedsopdatering, der er beskrevet i sikkerhedsbulletin MS10070, udføres følgende operationer, når kryptering er angivet for ASP.NET:
  • Under kryptering af data genereres der en HMAC-signatur for de krypterede data, og den vedhæftes dataene.
  • Under kryptering af data, valideres HMAC-signaturen, før dataene dekrypteres.
Følgende nøgler i ASP.NET-programindstillingerne (appSettings) styrer funktionsmåden for signering og kryptering.
Skjul tabellenUdvid tabellen
NøgleTypeStandardværdiUnderstøttede on.NET-versioner
aspnet:UseLegacyEncryptionBooleskFalskMicrosoft .NET Framework 2,0 Service Pack 1
Microsoft .NET Framework 2,0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3,5 Service Pack 1
Microsoft .NET Framework 4,0
aspnet:UseLegacyMachineKeyEncryptionBooleskFalskMicrosoft .NET Framework 4,0
aspnet:ScriptResourceAllowNonJsFilesBooleskFalskMicrosoft .NET Framework 3,5 Service Pack 1
Microsoft .NET Framework 4,0

Beskrivesle af aspnet:UseLegacyEncryption appSetting

Denne programindstilling angiver, om kryptering også udfører validering med en HMAC-nøgle, når valideringsafsnittet i machineKey-delen af ASP.NET-konfigurationen ikke konfigureres for HMAC-signaturvalidering.
Skjul tabellenUdvid tabellen
aspnet:UseLegacyEncryptionBeskrivelse
Falsk (standard)Denne indstilling konfigurerer ASP.NET, så der også udføres HMAC-signaturvalidering, når ASP.NET konfigureres til at bruge kryptering. Det sker, selvom validering i machineKey ikke er konfigureret til signering vha. en HMAC-nøgle.
TrueDenne indstilling konfigurerer ASP.NET til ikke at udføre HMAC-signaturvalidering, når det konfigureres til at bruge kryptering og ikke HMAC-signering via validering i machineKey.

Bemærk! Denne indstilling kan tillade, at ondsindede klienter dekrypterer eller på anden måde ændrer krypterede data.

Hvis du vil konfigurere denne indstilling, skal du tilføje følgende konfiguration i computerens eller programmets web.config-fil:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

Beskrivelse af aspnet:UseLegacyMachineKeyEncryption appSetting

Denne programindstilling angiver, om kryptering via klassen System.Web.Security.MachineKey også udfører validering med en HMAC-nøgle, når det angivne MachineKeyProtection-argument ikke angiver, at validering skal udføres.
Skjul tabellenUdvid tabellen
aspnet:UseLegacyMachineKeyEncryptionBeskrivelse
Falsk (standard)Denne indstilling konfigurerer ASP.NET, så der også udføres HMAC-signaturvalidering via klassen MachineKey , når ASP.NET konfigureres til at bruge kryptering. Det sker, selvom det angivne MachineKeyProtection-argument ikke angiver, at der skal udføres validering.
TrueDenne indstilling konfigurerer ASP.NET til ikke at udføre HMAC-signaturvalidering via klassen MachineKey, når det er konfigureret til at bruge kryptering og ikke HMAC-signering via det angivne MachineKeyProtection-argument.

Bemærk! Denne indstilling kan tillade, at ondsindede klienter dekrypterer eller på anden måde ændrer krypterede data.

Hvis du vil konfigurere denne indstilling, skal du tilføje følgende konfiguration i computerens eller programmets web.config-fil:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

Beskrivelse af aspnet:ScriptResourceAllowNonJsFiles appSetting

Denne programindstilling angiver, om ScriptResource.axd-handleren i ASP.NET behandler ikke-JavaScript-filer (.js). ScriptResource.axd er en ASP.NET-handler, der returnerer JavaScript-kildefiler til AJAX-komponenter på en ASP.NET-webside.
Skjul tabellenUdvid tabellen
aspnet:ScriptResourceAllowNonJsFilesBeskrivelse
Falsk (standard)Denne indstilling konfigurerer ASP.NET til kun at behandle statiske filer med filtypenavnet .js (JavaScript) via ScriptResource.axd-handleren.
SandDenne indstilling konfigurerer ASP.NET til at behandle alle statiske filer, som ASP.NET-programmet har adgang til via ScriptResource.axd-handleren.

Bemærk! Denne indstilling tillader, at alle filer i ASP.NET-programmet behandles af handleren. Hvis nogle af filerne indeholder følsomme eller fortrolige data, kan denne indstilling forårsage, at følsomme data offentliggøres til en klient.

Hvis du vil konfigurere denne indstilling, skal du tilføje følgende konfiguration i computerens eller programmets web.config-fil:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>

Referencer

Du kan finde flere oplysninger om MachineKey-afsnittet på følgende Microsoft-websted:
http://msdn.microsoft.com/da-dk/library/w8h3skw9.aspx
Du kan finde flere oplysninger om System.Web.Security.MachineKey-klassen på følgende Microsoft-websted:
http://msdn.microsoft.com/da-dk/library/system.web.security.machinekey.aspx
Hvis du vil vide mere om, hvordan du bruger programindstillinger (appSettings), skal du klikke på følgende artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
815786 Sådan gemmes og hentes brugerdefinerede oplysninger fra et programkonfigurationsfil vha. Visual C# ()
313405 Sådan gemmes og hentes brugerdefinerede oplysninger fra et programkonfigurationsfil vha. Visual Basic .NET eller Visual Basic 2005 ()
Du kan finde flere oplysninger om ASP.NET-konfiguration ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
307626 INFO: ASP.NET-konfigurationsoversigt ()
Bemærk! Dette er en artikel til hurtig udgivelse, som er oprettet direkte i Microsofts supportafdeling. Oplysningerne i artiklen præsenteres som de og behandler aktuelle problemer. Fordi artiklen er blevet udgivet hurtigt, kan der forekomme slåfejl, og artiklen kan blive redigeret uden varsel. Se andre forbehold under Vilkår for anvendelse.

Egenskaber

Artikel-id: 2425938 - Seneste redigering: 26. oktober 2010 - Redigering: 1.0
Oplysningerne i denne artikel gælder:
  • Microsoft .NET Framework 4.0
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 2.0 Service Pack 1 (x86)
Nøgleord: 
kbexpertiseinter kbhowto kbsecurity kbsurveynew KB2425938

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com