Örökölt titkosítási mód beállítása az ASP.NET szolgáltatásban

A cikk fordítása A cikk fordítása
Cikk azonosítója: 2425938 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

Összefoglaló

Az MS10-070 jelű biztonsági közleményében ismertetett biztonsági frissítés módosítja az ASP.NET szolgáltatás titkosítási mechanizmusát annak érdekében, hogy az a titkosítás mellett érvényesítést (aláírást) is végezzen. A cikk ismerteti, hogy milyen beállításokat kell elvégezni az ASP.NET szolgáltatásban a korábbi működési módra való visszatéréshez.

A biztonsági frissítésről a Microsoft alábbi webhelyén további információt:
http://www.microsoft.com/hun/technet/security/bulletin/ms10-070.mspx

További információ

Az ASP.NET szolgáltatás lehetővé teszi a felhasználók számára az adatok titkosítását, illetve érvényesítését a MachineKey szakasz beállításával. Az MS10-070 jelű biztonsági frissítés által javított biztonsági frissítés úgy módosítja a titkosítás alapértelmezett működését az ASP.NET szolgáltatásban, hogy az a titkosítás mellett érvényesítést is végezzen, még a csak titkosításra vonatkozó kérések esetén is.

Ha telepíti az MS10-070 jelű biztonsági közleményben ismertetett biztonsági frissítést, és az ASP.NET szolgáltatásban be van állítva a titkosítás, a rendszer az alábbi műveleteket hajtja végre:
  • Az adatok titkosítása során HMAC-aláírást hoz létre és fűz hozzá a titkosított adatokhoz.
  • Az adatok visszafejtése során ellenőrzi a HMAC-aláírást az adatok visszafejtése előtt.
Az ASP.NET alkalmazásbeállításaiban (appSettings) a következő kulcsok szabályozzák a titkosítás melletti aláírás működését.
A táblázat összecsukásaA táblázat kibontása
KulcsTípusAlapértelmezett értékTámogatott .NET-verziók
aspnet:UseLegacyEncryptionBoolean (logikai)False (hamis)Microsoft .NET-keretrendszer 2.0 Service Pack 1
Microsoft .NET-keretrendszer 2.0 Service Pack 2
Microsoft .NET-keretrendszer 3.5
Microsoft .NET-keretrendszer 3.5 Service Pack 1
Microsoft .NET-keretrendszer 4.0
aspnet:UseLegacyMachineKeyEncryptionBoolean (logikai)False (hamis)Microsoft .NET-keretrendszer 4.0
aspnet:ScriptResourceAllowNonJsFilesBoolean (logikai)False (hamis)Microsoft .NET-keretrendszer 3.5 Service Pack 1
Microsoft .NET-keretrendszer 4.0

Az aspnet:UseLegacyEncryption alkalmazásbeállítás ismertetése

Meghatározza, hogy a titkosítás mellett még akkor is sor kerüljön-e HMAC-kulccsal történő érvényesítésre, ha az ASP.NET konfigurációjában a machineKey szakasz érvényesítési szakaszában nincs beállítva a HMAC-aláírás érvényesítése.
A táblázat összecsukásaA táblázat kibontása
aspnet:UseLegacyEncryptionIsmertetés
False (alapértelmezett)Ezen beállítás megadása esetén a HMAC-aláírást is érvényesíti az ASP.NET szolgáltatás, ha titkosítás használatára van beállítva. Az érvényesítés akkor is megtörténik, ha a machineKey szakaszban nincs beállítva a HMAC-kulcs használatával történő aláírás.
True (igaz)Ezen beállítás megadása esetén az ASP.NET szolgáltatás nem hajtja végre a HMAC-aláírás érvényesítését, ha a machineKey szakaszban a titkosítás használata konfigurálva van, a HMAC-aláírás azonban nem.

Megjegyzés: Ez a beállítás lehetővé teheti, hogy egy rosszindulatú személy által működtetett ügyfélszámítógép visszafejtse, meghamisítsa vagy jogosulatlanul módosítsa a titkosított adatokat.

A beállítás konfigurálásához adja hozzá a következő beállításokat a számítógép vagy az alkalmazás web.config fájljához:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

Az aspnet:UseLegacyMachineKeyEncryption alkalmazásbeállítás ismertetése

Meghatározza, hogy a System.Web.Security.MachineKey osztályon keresztül történő titkosítás mellett még akkor is sor kerüljön-e HMAC-kulccsal történő érvényesítésre, ha a MachineKeyProtection argumentum nem írja elő az érvényesítést.
A táblázat összecsukásaA táblázat kibontása
aspnet:UseLegacyMachineKeyEncryptionIsmertetés
False (alapértelmezett)Ezen beállítás megadása esetén a MachineKey osztályon keresztül a HMAC-aláírást is érvényesíti az ASP.NET szolgáltatás, ha titkosítás használatára van beállítva. Az érvényesítés akkor is megtörténik, ha az a MachineKeyProtection argumentumban nincs megadva.
True (igaz)Ezen beállítás megadása esetén az ASP.NET szolgáltatás nem hajtja végre a HMAC-aláírás a MachineKey osztályon keresztül történő érvényesítését, ha a MachineKeyProtection argumentumban a titkosítás használata konfigurálva van, a HMAC-aláírás azonban nem.

Megjegyzés: Ez a beállítás lehetővé teheti, hogy egy rosszindulatú személy által működtetett ügyfélszámítógép visszafejtse, meghamisítsa vagy jogosulatlanul módosítsa a titkosított adatokat.

A beállítás konfigurálásához adja hozzá a következő beállításokat a számítógép vagy az alkalmazás web.config fájljához:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

Az aspnet:ScriptResourceAllowNonJsFiles alkalmazásbeállítás ismertetése

Ez az alkalmazásbeállítás megadja, hogy az ASP.NET ScriptResource.axd kezelője kiszolgálja-e a nem JavaScript-alapú (.js kiterjesztésű) fájlokat. Az ASP.NET ScriptResource.axd kezelője JavaScript-forrásfájlokat ad vissza az ASP.NET-alapú weboldalak AJAX-összetevői számára.
A táblázat összecsukásaA táblázat kibontása
aspnet:ScriptResourceAllowNonJsFilesIsmertetés
False (alapértelmezett)Ezen beállítás megadása esetén az ASP.NET szolgáltatás csak .js kiterjesztésű (JavaScript) statikus fájlokat szolgálja ki a ScriptResource.axd kezelőn keresztül.
True (igaz)Ezen beállítás megadása esetén az ASP.NET szolgáltatás minden olyan statikus fájlt kiszolgál a ScriptResource.axd kezelőn keresztül, amelyhez az ASP.NET-alkalmazásnak hozzáférése van.

Megjegyzés: Ez a beállítás lehetővé teszi bármely, az ASP.NET-alkalmazásban található fájl kiszolgálását a kezelőn keresztül. Ha ezen fájlok bármelyike bizalmas adatokat tartalmaz, akkor előfordulhat, hogy ez a beállítás lehetővé teszi ezek megszerzését. 

A beállítás konfigurálásához adja hozzá a következő beállításokat a számítógép vagy az alkalmazás web.config fájljához:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>

Hivatkozások

A MachineKey szakaszról a Microsoft alábbi webhelyén olvashat bővebben:
http://msdn.microsoft.com/hu-hu/library/w8h3skw9.aspx
A System.Web.Security.MachineKey osztállyal kapcsolatban a Microsoft alábbi webhelyén tájékozódhat:
http://msdn.microsoft.com/hu-hu/library/system.web.security.machinekey.aspx
Az alkalmazásbeállítások (appSettings) használatáról a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
815786 Egyéni adatok tárolása és beolvasása alkalmazáskonfigurációs fájlokban a Visual C# használatával
313405 Egyéni adatok tárolása és beolvasása alkalmazáskonfigurációs fájlokban a Visual Basic .NET vagy a Visual Basic 2005 használatával
Az ASP.Net szolgáltatás konfigurálásáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
307626 Információ: Az ASP.NET konfigurálásának áttekintése
Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELŰ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkező problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következően tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek között.

Tulajdonságok

Cikk azonosítója: 2425938 - Utolsó ellenőrzés: 2010. október 26. - Verziószám: 1.0
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft .NET Framework 4.0
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 2.0 Service Pack 1 (x86)
Kulcsszavak: 
kbhowto kbsecurity kbexpertiseinter KB2425938
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com