ASP.NET에서 레거시 암호화 모드를 구성하는 방법

기술 자료 번역 기술 자료 번역
기술 자료: 2425938 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

요약

Microsoft 보안 공지 MS10-070에 설명된 보안 업데이트는 ASP.NET에서 기본 암호화 메커니즘을 변경하여 암호화 외에 유효성 검사(서명)를 수행합니다. 이 문서에서는 ASP.NET에서 암호화에 대한 레거시 동작으로 되돌아가는 구성 옵션에 대해 설명합니다.

이 보안 업데이트에 대한 자세한 내용은 다음 웹 사이트를 참조하십시오.
http://www.microsoft.com/korea/technet/security/bulletin/ms10-070.mspx

추가 정보

ASP.NET에서는 MachineKey 섹션의 구성을 통해 선택적으로 데이터를 암호화하거나 유효성을 검사할 수 있습니다. 보안 업데이트 MS10-070에서 해결된 보안 업데이트는 ASP.NET의 기본 암호화 동작을 변경하여 암호화만 요청되더라도 유효성 검사까지 수행되도록 합니다.

보안 공지 MS10-070에 설명된 보안 업데이트를 설치하면 ASP.NET에 대해 암호화가 설정될 때 다음 작업이 수행됩니다.
  • 데이터 암호화 중에 암호화된 데이터에 대해 HMAC 서명이 생성된 후 추가됩니다.
  • 데이터 암호 해독 중에는 데이터가 해독되기 전에 HMAC 서명의 유효성이 검사됩니다.
ASP.NET 응용 프로그램 설정(appSettings)의 다음 키는 암호화 외에 서명 동작을 제어합니다.
표 축소표 확대
형식기본값.NET 버전에서 지원됨
aspnet:UseLegacyEncryptionBooleanFalseMicrosoft .NET Framework 2.0 서비스 팩 1
Microsoft .NET Framework 2.0 서비스 팩 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 서비스 팩 1
Microsoft .NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryptionBooleanFalseMicrosoft .NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFilesBooleanFalseMicrosoft .NET Framework 3.5 서비스 팩 1
Microsoft .NET Framework 4.0

aspnet:UseLegacyEncryption appSetting에 대한 설명

이 응용 프로그램 설정은 ASP.NET 구성의 machineKey 섹션이 HMAC 서명 유효성 검사에 맞게 구성되어 있지 않더라도 HMAC 키로 암호화를 진행할 때 유효성 검사가 추가적으로 수행될지 여부를 지정합니다.
표 축소표 확대
aspnet:UseLegacyEncryption설명
False(기본값)이 설정은 ASP.NET이 암호화를 사용하도록 구성되어 있을 때 HMAC 서명 유효성 검사를 추가적으로 수행하도록 ASP.NET을 구성합니다. machineKey의 유효성 검사가 HMAC 키를 사용하여 서명하도록 구성되어 있지 않더라도 이러한 현상이 나타납니다.
True이 설정은 ASP.NET이 암호화를 사용하지만 machineKey의 유효성 검사를 통해 HMAC 서명을 사용하지 않도록 구성되어 있을 때는 HMAC 서명 유효성 검사를 수행하지 않도록 구성합니다.

참고 이 설정은 악의적인 클라이언트가 암호화된 데이터를 암호 해독, 위조 또는 변조할 수 있도록 합니다.

이 설정을 구성하려면 컴퓨터 또는 응용 프로그램 web.config 파일에 다음 구성을 추가합니다.
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

aspnet:UseLegacyMachineKeyEncryption appSetting에 대한 설명

이 응용 프로그램 설정은 제공된 MachineKeyProtection 인수가 유효성 검사가 수행되도록 지정하지 않더라도 System.Web.Security.MachineKey 클래스를 통한 암호화가 HMAC 키를 사용하여 추가적으로 유효성 검사를 수행할지 여부를 지정합니다.
표 축소표 확대
aspnet:UseLegacyMachineKeyEncryption설명
False(기본값)이 설정은 ASP.NET이 암호화를 사용하도록 구성되어 있을 때 MachineKey 클래스를 통해 HMAC 서명 유효성 검사를 추가적으로 수행하도록 ASP.NET을 구성합니다. 이러한 동작은 제공된 MachineKeyProtection 인수가 유효성 검사가 수행되도록 지정하지 않을 경우에도 발생합니다.
True이 설정은 ASP.NET이 제공된 MachineKeyProtection 인수를 통해 암호화를 사용하지만 HMAC 서명은 사용하지 않도록 구성되어 있을 때 MachineKey 클래스를 통해 HMAC 서명 유효성 검사를 수행하지 않도록 구성합니다.

참고 이 설정은 악의적인 클라이언트가 암호화된 데이터를 암호 해독, 위조 또는 변조할 수 있도록 합니다.

이 설정을 구성하려면 컴퓨터 또는 응용 프로그램 web.config 파일에 다음 구성을 추가합니다.
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

aspnet:ScriptResourceAllowNonJsFiles appSetting에 대한 설명

이 응용 프로그램 설정은 ASP.NET의 ScriptResource.axd 처리기가 JavaScript 파일(.js 확장명) 이외의 파일을 제공할지 여부를 지정합니다. ScriptResource.axd는 ASP.NET 웹 페이지의 AJAX 구성 요소에 JavaScript 소스 파일을 반환하는 ASP.NET 처리기입니다.
표 축소표 확대
aspnet:ScriptResourceAllowNonJsFiles설명
False(기본값)이 설정은 .js 확장명(JavaScript)을 갖는 정적 파일을 ScriptResource.axd 처리기를 통해서만 제공하도록 ASP.NET을 구성합니다.
True이 설정은 ASP.NET 응용 프로그램이 ScriptResource.axd 처리기를 통해 액세스해야 하는 특정 파일을 제공하도록 ASP.NET을 구성합니다.

참고 이 설정은 ASP.NET 응용 프로그램 내의 모든 파일이 처리기를 통해 제공되도록 허용합니다. 이러한 파일에 중요한 데이터 또는 기밀 데이터가 포함되어 있는 경우 이 설정은 클라이언트에 중요한 정보를 누수하는 결과를 가져올 수 있습니다.

이 설정을 구성하려면 컴퓨터 또는 응용 프로그램 web.config 파일에 다음 구성을 추가합니다.
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>

참조

MachineKey 섹션에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://msdn.microsoft.com/ko-kr/library/w8h3skw9.aspx
System.Web.Security.MachineKey 클래스에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://msdn.microsoft.com/ko-kr/library/system.web.security.machinekey.aspx
응용 프로그램 설정(appSettings)을 사용하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
815786 Visual C#을 사용하여 응용 프로그램 구성 파일에서 사용자 지정 정보를 저장 및 가져오는 방법
313405 Visual Basic .NET 또는 Visual Basic 2005를 사용하여 응용 프로그램 구성 파일에서 사용자 지정 정보를 저장 및 가져오는 방법
ASP.Net 구성에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
307626 INFO: ASP.NET 구성 개요
참고 이것은 Microsoft 기술 지원 서비스 내에서 직접 작성한 “빠른 게시” 문서입니다. 여기에 포함된 정보는 발생한 문제에 대해 있는 그대로 제공됩니다. 이 문서는 즉시 참조할 수 있도록 빠르게 작성되어서 표기상의 오류가 포함되어 있을 수 있고 언제든지 예고 없이 수정될 수 있습니다. 기타 고려 사항은사용 약관을 참조하십시오. 정보

속성

기술 자료: 2425938 - 마지막 검토: 2010년 10월 25일 월요일 - 수정: 1.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft .NET Framework 4.0
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 2.0 Service Pack 1 (x86)
키워드:?
kbexpertiseinter kbhowto kbsecurity kbsurveynew KB2425938

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com