Cómo configurar el modo de cifrado antiguo en ASP.NET

Seleccione idioma Seleccione idioma
Id. de artículo: 2425938 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

La actualización de seguridad que se describe en el boletín de seguridad de Microsoft que MS10-070 realiza cambios en el mecanismo de cifrado predeterminado de ASP.NET para realizar la validación (firma) junto con el cifrado. En este artículo se describe las opciones de configuración para volver al comportamiento heredado para la codificación en ASP.NET.

Para obtener más información acerca de esta actualización de seguridad, visite el siguiente sitio Web:
http://www.Microsoft.com/TechNet/Security/Bulletin/ms10-070.mspx

Más información

ASP.NET permite a los usuarios de manera opcional, descifrar o validar los datos a través de la configuración en la sección MachineKey. La actualización de seguridad que se resuelve mediante la seguridad Actualizar cambios MS10-070 el comportamiento predeterminado de codificación en ASP.NET para realizar la validación también en el cifrado aunque sólo el cifrado se solicita.

Después de instalar la actualización de seguridad que se describe en el boletín de seguridad MS10-070, las siguientes operaciones se realizan al cifrado se ha configurado para ASP.NET:
  • Durante el cifrado de datos, una firma de código HMAC se genera para los datos cifrados y se anexa a éste.
  • Durante el descifrado de datos, la firma de código HMAC se valida antes de que se descifran los datos.
Las claves siguientes en control de configuración (appSettings) de aplicación de ASP.NET el comportamiento de la firma además para cifrado.
Contraer esta tablaAmpliar esta tabla
ClaveTipoValor predeterminadoVersiones de on.NET compatibles
ASPNET:UseLegacyEncryptionValor de tipo BooleanEs falseMicrosoft .NET framework 2.0 Service Pack 1
Microsoft .NET framework 2.0 Service Pack 2
Microsoft .NET framework 3.5
Microsoft .NET framework 3.5 Service Pack 1
Microsoft .NET framework 4.0
ASPNET:UseLegacyMachineKeyEncryptionValor de tipo BooleanEs falseMicrosoft .NET framework 4.0
ASPNET:ScriptResourceAllowNonJsFilesValor de tipo BooleanEs falseMicrosoft .NET framework 3.5 Service Pack 1
Microsoft .NET framework 4.0

Descripción de la appSetting aspnet:UseLegacyEncryption

Esta configuración de la aplicación especifica si cifrado además realizará validación con una clave HMAC incluso cuando la sección de validación en la sección machineKey de configuración de ASP.NET no está configurada para la validación de firma de código HMAC.
Contraer esta tablaAmpliar esta tabla
ASPNET:UseLegacyEncryptionDescripción
False (predeterminado)Este valor configura ASP.NET para realizar la validación de la firma de código HMAC además cuando ASP.NET se configura para utilizar el cifrado. Esto ocurrirá incluso si la validación en machineKey no está configurado para iniciar sesión con una clave HMAC.
Es TrueEste valor configura ASP.NET no para realizar la validación de firma de código HMAC cuando está configurado para utilizar el cifrado y no a través de la validación en machineKey la firma de HMAC.

NotaEsta configuración podría permitir a un cliente malintencionado descifrar, falsificar o alterar los datos cifrados en caso contrario.

Para configurar este valor, agregue la siguiente configuración en el archivo web.config de su equipo o una aplicación:
<configuration>
...
 <appSettings>
 ...
 <add key="aspnet:UseLegacyEncryption" value="false" />
 </appSettings>
</configuration>

Descripción de appSetting aspnet:UseLegacyMachineKeyEncryption

Esta configuración de la aplicación especifica si el cifrado a través de laSystem.Web.Security.MachineKeyclase además realice la validación con una clave HMAC incluso cuando el texto proporcionadoMachineKeyProtectionargumento no se especifica que se realice la validación.
Contraer esta tablaAmpliar esta tabla
ASPNET:UseLegacyMachineKeyEncryptionDescripción
False (predeterminado)Este valor configura ASP.NET para realizar la validación de firma de código HMAC a través de además laMachineKeyclase cuando se configura ASP.NET para utilizar el cifrado. Esto ocurrirá incluso si el texto proporcionadoMachineKeyProtectionargumento no se especifica que se realice la validación.
Es TrueEste valor configura ASP.NET para que no se realice la validación de firma de código HMAC a través de laMachineKeyclase cuando se configura para utilizar el cifrado y no los HMAC firma a través de la proporcionadaMachineKeyProtectionargumento.

NotaEsta configuración podría permitir a un cliente malintencionado descifrar, falsificar o alterar los datos cifrados en caso contrario.

Para configurar este valor, agregue la siguiente configuración en el archivo web.config de su equipo o una aplicación:
<configuration>
...
 <appSettings>
 ...
 <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" />
 </appSettings>
</configuration>

Descripción de appSetting aspnet:ScriptResourceAllowNonJsFiles

Esta configuración de la aplicación especifica si el controlador ScriptResource.axd en ASP.NET atenderá los archivos de no admiten JavaScript (extensión .js). ScriptResource.axd es un controlador ASP.NET que devuelve los archivos de origen de JavaScript para los componentes de AJAX en una página Web ASP.NET.
Contraer esta tablaAmpliar esta tabla
ASPNET:ScriptResourceAllowNonJsFilesDescripción
False (predeterminado)Este valor configura ASP.NET para que sólo se sirven archivos estáticos que tengan la extensión .js (JavaScript) mediante el controlador ScriptResource.axd.
Es TrueEste valor configura ASP.NET para atender a cualquier archivo estático que la aplicación ASP.NET tiene acceso mediante el controlador ScriptResource.axd.

NotaEsta configuración permite que cualquier archivo dentro de la aplicación ASP.NET para que se va a servir a través del controlador. Si este tipo de archivos contiene datos confidenciales, a continuación, esta configuración puede potencialmente producir la pérdida de información confidencial a un cliente.

Para configurar este valor, agregue la siguiente configuración en el archivo web.config de su equipo o una aplicación:
<configuration>
...
 <appSettings>
 ...
 <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" />
 </appSettings>
</configuration>

REFERENCIAS

Para obtener más información acerca de la sección MachineKey, visite el siguiente sitio Web de Microsoft:
http://msdn.Microsoft.com/en-us/library/w8h3skw9.aspx
Para obtener más información acerca de laSystem.Web.Security.MachineKeyclases, visite el siguiente sitio Web de Microsoft:
http://msdn.Microsoft.com/en-us/library/System.Web.Security.machineKey.aspx
Para obtener más información acerca de cómo utilizar la configuración de la aplicación (appSettings), haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
815786Cómo almacenar y recuperar información personalizada de un archivo de configuración de la aplicación mediante Visual C#
313405Cómo almacenar y recuperar la información personalizada de un archivo de configuración de la aplicación mediante el uso de Visual Basic .NET o Visual Basic 2005
Para obtener más información acerca de la configuración de ASP.Net, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
307626INFO: Introducción A configuración de ASP.NET

Propiedades

Id. de artículo: 2425938 - Última revisión: martes, 28 de septiembre de 2010 - Versión: 0.1
La información de este artículo se refiere a:
  • Microsoft .NET Framework 4
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 2.0 Service Pack 1 (x86)
Palabras clave: 
kbexpertiseinter kbhowto kbsecurity kbsurveynew kbmt KB2425938 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2425938

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com