כיצד להגדיר מצב הצפנה מדור קודם ב-ASP.NET

תרגומי מאמרים תרגומי מאמרים
Article ID: 2425938 - View products that this article applies to.
הרחב הכל | כווץ הכל

תקציר

עדכון האבטחה המתואר בעלון האבטחה של Microsoft מספר MS10-070 מבצע שינויים במנגנון ברירת המחדל של ההצפנה ב- ASP.NET לביצוע אימות (חתימה) בנוסף להצפנה. מאמר זה מתאר אפשרויות הגדרת תצורה לחזרה להתנהגות מדור קודם עבור הצפנה ב- ASP.NET.

למידע נוסף אודות עדכון אבטחה זה, בקר באתר האינטרנט הבא:
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx

מידע נוסף

ASP.NET מאפשר למשתמשים לבחור בין הצפנה או אימות של נתונים באמצעות הגדרת התצורה באיזור MachineKey. עדכון האבטחה הנדון בעלון האבטחה MS10-070 משנה התנהגות ברירת המחדל של ההצפנה ב- ASP.NET לביצוע אימות בנוסף להצפנה גם אם מבקשים רק הצפנה.

לאחר התקנת עדכון האבטחה המתואר בעלון האבטחה MS10-070 הפעולות הבאות מתבצעות כאשר מוגדרת הצפנה עבור ASP.NET:
  • במהלך הצפנת נתונים, חתימת HMAC נוצרת עבור הנתונים המוצפנים ונוספת בסופם.
  • במהלך פענוח הנתונים חתימת HMAC מאומתת לפני פיענוח הנתונים.
המפתחות הבאים בהגדרות יישום ASP.NET? (appSettings) שולטים בהתנהגות החתימה בנוסף להצפנה.
כווץ את הטבלההרחב את הטבלה
מפתחסוגערך ברירת מחדלנתמך בגירסאות הבאות של ?.NET
aspnet:UseLegacyEncryptionבוליאנישקרMicrosoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryptionבוליאנישקרMicrosoft .NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFilesבוליאנישקרMicrosoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

תאור של הגדרת aspnet:UseLegacyEncryption appSetting

הגדרת יישום זו קובעת האם ההצפנה תבצע גם אימות עם מפתח HMAC גם כאשר איזור האימות באיזור machineKey של תצורת ASP.NET אינה מוגדרת לאימות חתימת HMAC.
כווץ את הטבלההרחב את הטבלה
aspnet:UseLegacyEncryptionתיאור
שקר (ברירת מחדל)הגדרה זו קובעת ל- ASP.NET לבצע גם אימות חתימת HMAC כאשר ASP.NET מוגדר להשתמש בהצפנה. פעולה זו תתרחש גם אם אימות ב- machineKey אינה מוגדרת לבצע חתימה עם מפתח HMAC.
Trueהגדרה זו קובעת ל- ASP.NET לא לבצע אימות חתימת HMAC כאשר הוא מוגדר להשתמש בהצפנה ולא בחתימת HMAC באמצעות אימות ב- machineKey.

הערה הגדרה זו עלולה לאפשר ללקוח זדוני לפענח, לזייף או לחבל בדרך אחרת בנתונים מוצפנים.

לקביעת הגדרה זו הוסף את התצורה הבאה בקובץ web.config של היישום או המחשב:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

תיאור של aspnet:UseLegacyMachineKeyEncryption appSetting

הגדרת יישום זו קובעת האם הצפנה באמצעות המחלקה System.Web.Security.MachineKey תבע גם אימות עם מפתח HMAC אפילו כאשר הארגומנט MachineKeyProtection אינו מציין לבצע אימות.
כווץ את הטבלההרחב את הטבלה
aspnet:UseLegacyMachineKeyEncryptionתיאור
שקר (ברירת מחדל)הגדרה זו קובעת ל- ASP.NET לבצע גם אימות חתימת HMAC באמצעות המחלקה MachineKey כאשר ASP.NET מוגדר להשתמש בהצפנה. הדבר יתרחש גם אם הארגומנט MachineKeyProtection הנתון אינו מציין לבצע אימות.
Trueהגדרה זו קובעת ל-ASP.NET לא לבצע אימות חתימת HMAC דרך המחלקה MachineKey כאשר הוא מוגדר להשתמש בהצפנה ולא בחתימת HMAC באמצעות הארגומנט MachineKeyProtection הנתון.

הערה הגדרה זו עלולה לאפשר ללקוח זדוני לפענח, לזייף או לחבל בדרך אחרת בנתונים מוצפנים.

לקביעת הגדרה זו הוסף את התצורה הבאה בקובץ web.config של היישום או המחשב:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

תאור של aspnet:ScriptResourceAllowNonJsFiles appSetting

הגדרת יישום זו מציינת האם המטפל ScriptResource.axd ב- ASP.NET תשרת קבצים שאינם JavaScript (סיומת ?.js). ScriptResource.axd הוא מטפל של ASP.NET המחזיר קובצי מקור של JavaScript לרכיבי AJAX בדפי אינטרנט של ASP.NET.
כווץ את הטבלההרחב את הטבלה
aspnet:ScriptResourceAllowNonJsFilesתיאור
שקר (ברירת מחדל)הגדרה זו קובעת ל- ASP.NET לשרת רק קבצים סטטיים עם סיומת ?.js? (JavaScript) באמצעות המטפל ScriptResource.axd.
Trueהגדרה זו קובעת ל-ASP.NET לשרת כל קובץ סטטי שליישום ASP.NET יש גישה אליו באמצעות המטפל ScriptResource.axd.

הערה הגדרה זו מאפשרת לכל קובץ ביישום ASP.NET שלך לקבל שירות באמצעות המטפל. אם קבצים מסוג זה מכילים נתונים רגישים או סודיים אז הגדרה זו עלולה לאפשר דליפת נתונים רגישים ללקוח.

לקביעת הגדרה זו הוסף את התצורה הבאה בקובץ web.config של היישום או המחשב:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>

הפניות

לקבלת מידע נוסף אודות איזור MachineKey, בקר באתר האינטרנט הבא של Microsoft:
http://msdn.microsoft.com/he-il/library/w8h3skw9.aspx
למידע נוסף אודות המחלקה System.Web.Security.MachineKey, בקר באתר האינטרנט הבאה של Microsoft:
http://msdn.microsoft.com/he-il/library/system.web.security.machinekey.aspx
למידע נוסף אודות אופן השימוש בהגדרות יישום אלו (appSettings), לחץ על מספרי המאמרים הבאים להצגתם במאגר הידע Microsoft Knowledge Base:
815786 כיצד לאחסן ולאחזר מידע מותאם אישית מקובץ הגדרת תצורה של יישום באמצעות Visual C#?
313405 כיצד לאחסן ולאחזר מידע מותאם אישית מקובץ הגדרת תצורה של יישום באמצעות Visual Basic .NET או Visual Basic 2005
לקבלת מידע נוסף על תצורת ASP.NET, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
307626 מידע: סקירת תצורת ASP.NET
הערה זהו מאמר מסוג "פרסום מהיר" שנוצר ישירות מתוך ארגון התמיכה של Microsoft. המידע ניתן כפי שהוא (as-is) כתגובה לבעיות שעלו. בשל הדחיפות בהוצאת החומר, שגיאות טיפוגרפיות עשויות להתגלות בו, והחומר עשוי לעבור תיקון בכל שלב ללא הודעה מראש. לקבלת מידע נוסף, עיין בתנאי השימוש.

מאפיינים

Article ID: 2425938 - Last Review: יום שני 25 אוקטובר 2010 - Revision: 1.0
המידע במאמר זה חל על:
  • Microsoft .NET Framework 4.0
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 2.0 Service Pack 1 (x86)
מילות מפתח 
kbexpertiseinter kbhowto kbsecurity KB2425938

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com