Vanhan salaustilan määrittäminen ASP.NETissä

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 2425938 - Näytä tuotteet, joita tämä artikkeli koskee.
Laajenna kaikki | Kutista kaikki

Yhteenveto

Microsoftin tietoturvatiedotteessa MS10-070 kuvattu tietoturvapäivitys tekee muutoksia ASP.NETin oletussalausmekanismiin, jotta salaamisen lisäksi tehdään vahvistus (allekirjoitus) tehdään. Tässä artikkelissa kuvataan määritykset, jotka tekemällä voidaan palata ASP.NETin salauksen vanhaan toimintaan.

Lisätietoja tästä tietoturvapäivityksestä on seuraavassa WWW-sivustossa:
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx

Enemmän tietoa

ASP.NET sallii käyttäjien valinnaisesta salata tai vahvistaa tiedot MachineKey-osan määrityksen avulla. Tietoturvapäivityksessä MS10-070 käsitelty tietoturvapäivitys muuttaa ASP.NETin salauksen oletustoimintaa niin, että vahvistus tehdään salauksen lisäksi, vaikka vain salausta pyydettäisiin.

Kun tietoturvatiedotteessa MS10-070 kuvattu päivitys on asennettu, seuraavat toiminnot tehdään, kun salaus on määritetty ASP.NETille:
  • Tietojen salaamisen aikana HMAC-allekirjoitus luodaan salatuille tiedoille ja liitetään niihin.
  • Tietojen salauksen purkamisen aikana HMAC-allekirjoitus vahvistetaan, ennen kuin tietojen salaus puretaan.
Seuraavat ASP.NET-sovellusasetusten (appSetting-asetukset) avaimet ohjaavat salaamisen lisäksi tehtävän allekirjoittamisen toimintaa.
Kutista tämä taulukkoLaajenna tämä taulukko
AvainTyyppiOletusarvo.NET-versiot, joissa tätä tuetaan
aspnet:UseLegacyEncryptionTotuusarvoFalseMicrosoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryptionTotuusarvoFalseMicrosoft .NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFilesTotuusarvoFalseMicrosoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

Sovellusasetuksen (appSetting) aspnet:UseLegacyEncryption kuvaus

Tämä sovellusasetus määrittää, tekeekö salaaminen lisäksi vahvistuksen HMAC-avaimella, vaikka ASP.NET-määrityksen machineKey-osan vahvistusosa ei olisi määritetty HMAC-allekirjoituksen vahvistusta varten.
Kutista tämä taulukkoLaajenna tämä taulukko
aspnet:UseLegacyEncryptionKuvaus
False (oletus)Tämä asetus määrittää ASP.NETin tekemään lisäksi HMAC-allekirjoituksen vahvistuksen, kun ASP.NET on määritetty käyttämään salausta. Tämä tehdään, vaikka vahvistusta machineKey-osassa ei olisi määritetty allekirjoittamaan HMAC-avaimella.
TrueTämä asetus määrittää ASP.NETin niin, ettei se tee HMAC-allekirjoituksen vahvistusta, kun se on määritetty käyttämään salausta eikä HMAC-allekirjoitusta vahvistuksen kautta machineKey-osassa.

Huomautus Tämä asetus saattaa sallia haitalliseksi suunnitellun asiakkaan purkaa salattujen tietojen salauksen, väärentää ne tai muulla tavalla peukaloida niitä.

Jos haluat määrittää tämän asetuksen, lisää seuraava määritys tietokoneen tai sovelluksen Web.config-tiedostoon:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

Sovellusasetuksen (appSetting) aspnet:UseLegacyMachineKeyEncryption kuvaus

Tämä sovellusasetus määrittää, tekeekö System.Web.Security.MachineKey-luokan kautta tehtävä salaaminen lisäksi vahvistamisen HMAC-avaimella, vaikka annettu MachineKeyProtection-argumentti ei määrittäisi, että vahvistaminen tulee tehdä.
Kutista tämä taulukkoLaajenna tämä taulukko
aspnet:UseLegacyMachineKeyEncryptionKuvaus
False (oletus)Tämä asetus määrittää ASP.NETin tekemään lisäksi HMAC-allekirjoituksen vahvistuksen MachineKey-luokan kautta, kun ASP.NET on määritetty käyttämään salausta. Tämä tehdään, vaikka annettu MachineKeyProtection-argumentti ei määrittäisi, että vahvistaminen tulee tehdä.
TrueTämä asetus määrittää ASP.NETin niin, ettei se tee HMAC-allekirjoituksen vahvistusta MachineKey-luokan kautta, kun se on määritetty käyttämään salausta eikä HMAC-allekirjoitusta annetun MachineKeyProtection-argumentin kautta.

Huomautus Tämä asetus saattaa sallia haitalliseksi suunnitellun asiakkaan purkaa salattujen tietojen salauksen, väärentää ne tai muulla tavalla peukaloida niitä.

Jos haluat määrittää tämän asetuksen, lisää seuraava määritys tietokoneen tai sovelluksen Web.config-tiedostoon:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

Sovellusasetuksen (appSetting) aspnet:ScriptResourceAllowNonJsFiles kuvaus

Tämä sovellusasetus määrittää, antaako ASP.NETin ScriptResource.axd-käsittely muita kuin JavaScript-tiedostoja (.js-tiedostotunniste). ScriptResource.axd on ASP.NET-käsittely, joka palauttaa JavaScript-lähdetiedostot AJAX-osille ASP.NET-verkkosivulla.
Kutista tämä taulukkoLaajenna tämä taulukko
aspnet:ScriptResourceAllowNonJsFilesKuvaus
False (oletus)Tämä asetus määrittää ASP.NETin niin, että se antaa ScriptResource.axd-käsittelyn kautta ainoastaan staattisia tiedostoja, joilla on .js-tiedostotunniste (JavaScript).
TrueTämä asetus määrittää ASP.NETin niin, että se antaa ScriptResource.axd-käsittelyn kautta minkä tahansa staattisen tiedoston, jota ASP.NET-sovellus pystyy käyttämään.

Huomautus Tämä asetus mahdollistaa minkä tahansa ASP.NET-sovelluksessa olevan tiedoston antamisen käsittelyn kautta. Jos kyseiset tiedostot sisältävät arkaluontoisia tai luottamuksellisia tietoja, tämä asetus saattaa antaa asiakkaan käyttää arkaluontoisia tietoja. 

Jos haluat määrittää tämän asetuksen, lisää seuraava määritys tietokoneen tai sovelluksen Web.config-tiedostoon:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>

Lisätietoja

Lisätietoja MachineKey-osasta on seuraavassa Microsoftin WWW-sivustossa:
http://msdn.microsoft.com/fi-fi/library/w8h3skw9.aspx
Lisätietoja System.Web.Security.MachineKey-luokasta on seuraavassa Microsoftin WWW-sivustossa:
http://msdn.microsoft.com/fi-fi/library/system.web.security.machinekey.aspx
Lisätietoja sovellusasetusten (appSetting-asetusten) käyttämisestä saat napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:
815786 Mukautettujen tietojen tallentaminen ja noutaminen sovelluksen määritystiedostosta Visual C#:n avulla
313405 Mukautettujen tietojen tallentaminen ja noutaminen sovelluksen määritystiedostosta Visual Basic .NETin tai Visual Basic 2005:n avulla
Lisätietoja ASP.NET-määrityksestä saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
307626 TIETOJA: ASP.NET-määrityksen yleiskatsaus
Huomautus Tämä on niin sanottu nopeasti julkaistava (?fast publish?) artikkeli, joka on laadittu suoraan Microsoftin tukiorganisaatiossa. Tässä olevat tiedot toimitetaan sellaisenaan vastauksena esiin tulleisiin ongelmiin. Koska aineisto on tuotu saataville nopeasti, se saattaa sisältää painovirheitä ja tietoja saatetaan muokata milloin tahansa ilman erillistä ilmoitusta. Lue muut huomioon otettavat seikat käyttöehdoista.

Ominaisuudet

Artikkelin tunnus: 2425938 - Viimeisin tarkistus: 25. lokakuuta 2010 - Versio: 1.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft .NET Framework 4.0
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 2.0 Service Pack 1 (x86)
Hakusanat: 
kbexpertiseinter kbhowto kbsecurity kbsurveynew KB2425938

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com