Configurazione della modalitā di crittografia legacy in ASP.NET

Traduzione articoli Traduzione articoli
Identificativo articolo: 2425938 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sommario

L'aggiornamento della protezione descritto nel Bollettino Microsoft sulla sicurezza MS10-070 modifica il meccanismo di crittografia predefinita in ASP.NET per l'esecuzione della convalida (firma) oltre alla crittografia. Questo articolo descrive le opzioni di configurazione per ripristinare il meccanismo legacy per la crittografia in ASP.NET.

Per ulteriori informazioni sul questo aggiornamento della protezione, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx

Informazioni

ASP.NET fornisce agli utenti la possibilitā di crittografare o convalidare i dati tramite la configurazione nella sezione MachineKey. Questo aggiornamento della protezione, correlato all'aggiornamento della protezione MS10-070, modifica il meccanismo di crittografia predefinito di ASP.NET per l'esecuzione della convalida oltre alla crittografia, anche se č necessaria solo la crittografia.

Dopo l'installazione dell'aggiornamento della protezione descritto nel Bollettino sulla sicurezza MS10-070, quando viene impostata la crittografia per ASP.NET vengono effettuate le seguenti operazioni:
  • In fase di crittografia dei dati, viene generata e accodata una firma HMAC per i dati crittografati.
  • In fase di decrittografia dei dati, la firma HMAC viene convalidata prima della decrittografia dei dati.
Le chiavi seguenti nelle impostazioni dell'applicazione ASP.NET (appSetting) controllano il meccanismo di firma oltre alla crittografia.
Riduci questa tabellaEspandi questa tabella
ChiaveTipoValore predefinitoSupportata nelle versioni di .NET
aspnet:UseLegacyEncryptionBooleanoFalseMicrosoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryptionBooleanoFalseMicrosoft .NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFilesBooleanoFalseMicrosoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

Descrizione dell'impostazione dell'applicazione (appSetting) aspnet:UseLegacyEncryption

Questa impostazione dell'applicazione specifica se assieme alla crittografia verrā eseguita la convalida con una chiave HMAC anche quando la sezione relativa alla convalida nella sezione machineKey della configurazione ASP.NET non č configurata per la convalida della firma HMAC.
Riduci questa tabellaEspandi questa tabella
aspnet:UseLegacyEncryptionDescrizione
False (impostazione predefinita)Con questa impostazione, se ASP.NET č configurato per l'utilizzo della crittografia eseguirā anche la convalida della firma. Ciō avverrā anche se la convalida in machineKey non č configurata per la firma tramite una chiave HMAC.
TrueCon questa impostazione, ASP.NET non esegue la convalida della firma HMAC quando č configurato per l'utilizzo della crittografia e non della firma HMAC tramite la convalida in machineKey.

Nota Questa impostazione potrebbe consentire a un client malitenzionato di decrittografare, contraffare o manomettere in altro modo i dati crittografati.

Per configurare questa impostazione, aggiungere la configurazione seguente nel file web.config nell'applicazione o nel computer:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

Descrizione dell'impostazione dell'applicazione (appSetting) aspnet:UseLegacyMachineKeyEncryption

Questa impostazione dell'applicazione specifica se la crittografia tramite la classe System.Web.Security.MachineKey eseguirā la convalida con una chiave HMAC anche quando l'argomento MachineKeyProtection fornito non specifica l'esecuzione della convalida.
Riduci questa tabellaEspandi questa tabella
aspnet:UseLegacyMachineKeyEncryptionDescrizione
False (impostazione predefinita)Con questa impostazione, se ASP.NET č configurato per l'utilizzo della crittografia eseguirā anche la convalida della firma HMAC tramite la classe MachineKey. Ciō avverrā anche se l'argomento MachineKeyProtection fornito non specifica l'esecuzione della convalida.
TrueCon questa impostazione, se ASP.NET č configurato per l'utilizzo della crittografia e non della firma HMAC tramite l'argomento MachineKeyProtection fornito, non esegue la convalida della firma HMAC tramite la classe MachineKey.

Nota Questa impostazione potrebbe consentire a un client malitenzionato di decrittografare, contraffare o manomettere in altro modo i dati crittografati.

Per configurare questa impostazione, aggiungere la configurazione seguente nel file web.config nell'applicazione o nel computer:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

Descrizione dell'impostazione dell'applicazione (appSetting) aspnet:ScriptResourceAllowNonJsFiles

Questa impostazione dell'applicazione specifica se il gestore ScriptResource.axd in ASP.NET elaborerā anche file non JavaScript (con estensione .js). ScriptResource.axd č un gestore ASP.NET che restituisce file di origine JavaScript a componenti AJAX in una pagina Web ASP.NET.
Riduci questa tabellaEspandi questa tabella
aspnet:ScriptResourceAllowNonJsFilesDescrizione
False (impostazione predefinita)Con questa impostazione, ASP.NET elabora solo file statici con estensione .js (JavaScript) tramite il gestore ScriptResource.axd.
TrueCon questa impostazione, ASP.NET elabora qualunque file statico a cui accede l'applicazione ASP.NET tramite il gestore ScriptResource.axd.

Nota Con questa impostazione, qualunque file nell'applicazione ASP.NET viene elaborato tramite il gestore. Se questi file contengono dati sensibili o riservati, con questa impostazione potrebbe verificarsi la divulgazione di informazioni sensibili in un client.

Per configurare questa impostazione, aggiungere la seguente configurazione nel file web.config nell'applicazione o nel computer:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>

Riferimenti

Per ulteriori informazioni sull sezione MachineKey, visitare il seguente sito Web Microsoft:
http://msdn.microsoft.com/it-it/library/w8h3skw9.aspx
Per ulteriori informazioni sull classe System.Web.Security.MachineKey, visitare il seguente sito Web Microsoft:
http://msdn.microsoft.com/it-it/library/system.web.security.machinekey.aspx
Per ulteriori informazioni sull'utilizzo delle impostazioni dell'applicazione (appSetting), fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
815786 Come archiviare e richiamare informazioni personalizzate da un file di configurazione dell'applicazione tramite Visual C#
313405 Come archiviare e richiamare informazioni personalizzate da un file di configurazione dell'applicazione tramite Visual Basic .NET o Visual Basic 2005
Per ulteriori informazioni sulla configurazione ASP.NET, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
307626 INFO: Cenni preliminari sulla configurazione di ASP.NET
Nota: questo č un articolo a "PUBBLICAZIONE RAPIDA", creato direttamente all'interno dell'organizzazione di supporto Microsoft. Le informazioni contenute nel presente documento vengono fornite "cosė come sono" in risposta alle problematiche riscontrate. A causa della rapiditā con cui vengono resi disponibili, i materiali possono contenere errori di battitura e sono soggetti a modifica senza preavviso, in qualsiasi momento. Per altre considerazioni, vedere le Condizioni per l'utilizzo.

Proprietā

Identificativo articolo: 2425938 - Ultima modifica: lunedė 25 ottobre 2010 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Microsoft .NET Framework 4.0
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 2.0 Service Pack 1 (x86)
Chiavi: 
kbexpertiseinter kbhowto kbsecurity KB2425938
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com