Slik konfigurerer du kryptering i eldre modus i ASP.NET

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 2425938 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

Sammendrag

Oppdateringen som beskrives i Microsoft-sikkerhetsbulletin MS10-070, gjør endringer i standard krypteringsmekanisme i ASP.NET for å utføre validering (signering) i tillegg til kryptering. Denne artikkelen beskriver konfigurasjonsalternativene for å gå tilbake til den gamle virkemåten for kryptering i ASP.NET.

Hvis du vil ha mer informasjon om denne sikkerhetsoppdateringen, kan du gå til følgende webområde:
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx

Mer informasjon

I ASP.NET kan brukere velge om de vil kryptere eller validere data ved hjelp av konfigurasjon i MachineKey-delen. Sikkerhetsoppdateringen som omhandles ved hjelp av sikkerhetsoppdatering MS10-070, endrer standard virkemåte for kryptering i ASP.NET for å utføre validering i tillegg til kryptering selv om det bare er bedt om kryptering.

Når du har installert sikkerhetsoppdateringen som er beskrevet i sikkerhetsbulletin MS10-070, utføres følgende operasjoner når kryptering er konfigurert for ASP.NET:
  • Ved kryptering av data genereres det en HMAC-signatur for de krypterte dataene som legges til den.
  • Ved dekryptering av data blir HMAC-signaturen validert før dataene dekrypteres.
Følgende nøkler i ASP.NET-programinnstillinger (appSettings) kontrollerer virkemåten for signering i tillegg til kryptering.
Skjul denne tabellenVis denne tabellen
NøkkelTypeStandardverdiStøttede on.NET-versjoner
aspnet:UseLegacyEncryptionBoolskUsannMicrosoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryptionBoolskUsannMicrosoft .NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFilesBoolskUsannMicrosoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

Beskrivelse av aspnet:UseLegacyEncryption appSetting

Denne programinnstillingen angir om kryptering også skal utføre validering med en HMAC-nøkkel selv når valideringsdelen i machineKey-delen i ASP.NET-konfigurasjonen ikke er konfigurert til validering av HMAC-signatur.
Skjul denne tabellenVis denne tabellen
aspnet:UseLegacyEncryptionBeskrivelse
Usann (standard)Denne innstillingen konfigurerer ASP.NET til også å utføre validering av HMAC-signatur når ASP.NET er konfigurert for bruk av kryptering. Dette skjer selv om validering i machineKey ikke er konfigurert til å signere ved hjelp av HMAC-nøkkel.
SannDenne innstillingen konfigurerer ASP.NET til ikke å utføre validering av HMAC-signatur når det er konfigurert til å bruke kryptering og ikke HMAC-signering ved hjelp av validering i machineKey.

Obs!  Denne innstillingen kan føre til at en ondsinnet klient kan dekryptere, skape eller annen måte endre data som er kryptert.

Hvis du vil konfigurere denne innstillingen, kan du legge til følgende konfigurasjon på datamaskinen eller i programfilen web.config:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

Beskrivelse av aspnet:UseLegacyMachineKeyEncryption appSetting

Denne programinnstillingen angir om kryptering ved hjelp av klassen System.Web.Security.MachineKey også skal utføre validering med en HMAC-nøkkel selv når det angitte argumentet MachineKeyProtection ikke angir at validering skal utføres.
Skjul denne tabellenVis denne tabellen
aspnet:UseLegacyMachineKeyEncryptionBeskrivelse
Usann (standard)Denne innstillingen konfigurerer ASP.NET til også å utføre validering av HMAC signatur ved hjelp av klassen MachineKey når ASP.NET er konfigurert til å bruke kryptering. Dette skjer selv om det angitte argumentet MachineKeyProtection ikke angir at validering skal utføres.
SannDenne innstillingen konfigurerer ASP.NET til ikke å utføre validering av HMAC-signatur ved hjelp av MachineKey-klassen når programmet er konfigurert til å bruke kryptering og ikke HMAC-signering ved hjelp av det angitte argumentet MachineKeyProtection .

Obs!  Denne innstillingen kan føre til at en ondsinnet klient kan dekryptere, skape eller annen måte endre data som er kryptert.

Hvis du vil konfigurere denne innstillingen, kan du legge til følgende konfigurasjon på datamaskinen eller programfilen web.config:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

Beskrivelse av aspnet:ScriptResourceAllowNonJsFiles appSetting

Denne programinnstillingen angir om behandlingsprogrammet ScriptResource.axd i ASP.NET skal betjene ikke-JavaScript-filer (filtypen JS). ScriptResource.axd er et ASP.NET-behandlingsprogram som returnerer JavaScript-kildefiler for AJAX-komponenter på en ASP.NET-webside.
Skjul denne tabellenVis denne tabellen
aspnet:ScriptResourceAllowNonJsFilesBeskrivelse
Usann (standard)Denne innstillingen konfigurerer ASP.NET til bare å betjene statiske filer som har filtypen JS (JavaScript) ved hjelp av behandlingsprogrammet ScriptResource.axd.
SannDenne innstillingen konfigurerer ASP.NET til å betjene alle statiske filer som ASP.NET-programmet har tilgang til, ved hjelp av behandlingsprogrammet ScriptResource.axd.

Obs!  Denne innstillingen gjør det mulig for en hvilken som helst fil i ASP.NET-programmet å bli betjent ved hjelp av behandlingsprogrammet. Hvis noen slike filer inneholder sensitive eller konfidensielle data, kan denne innstillingen potensielt lekke sensitiv informasjon til en klient. 

Hvis du vil konfigurere denne innstillingen, kan du legge til følgende konfigurasjon i web.config-filen for datamaskin eller program:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>

Referanser

Hvis du vil ha mer informasjon om MachineKey-delen, kan du gå til følgende Microsoft-webområde:
http://msdn.microsoft.com/nb-no/library/w8h3skw9.aspx
Hvis du vil ha mer informasjon om klassen System.Web.Security.MachineKey, kan du gå til følgende Microsoft-webområde:
http://msdn.microsoft.com/nb-no/library/system.web.security.machinekey.aspx
Hvis du vil ha mer informasjon om hvordan du bruker programinnstilinger (appSettings), kan du klikke følgende artikkelnumre for å vise artiklene i Microsoft Knowledge Base:
815786 Hvordan du kan lagre og hente egendefinert informasjon fra en konfigurasjonsfil for program ved hjelp av Visual C#
313405 Hvordan du kan lagre og hente egendefinert informasjon fra en konfigurasjonsfil for program ved hjelp av Visual Basic .NET eller Visual Basic 2005
Hvis du vil ha mer informasjon om ASP.Net-konfigurasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
307626 INFO: Oversikt over ASP.NET-konfigurasjon
Obs! Dette er en "FAST PUBLISH"-artikkel som er opprettet direkte innenfor Microsofts kundestøtteorganisasjon. Informasjonen her leveres "som den er" som svar på problemer som kan oppstå. Som et resultat av den korte tiden det tar å gjøre materialet tilgjengelig, kan det inneholde skrivefeil, og det kan når som helst og uten forvarsel bli revidert. Se Vilkår for bruk for mer informasjon.

Egenskaper

Artikkel-ID: 2425938 - Forrige gjennomgang: 26. oktober 2010 - Gjennomgang: 1.0
Informasjonen i denne artikkelen gjelder:
  • Microsoft .NET Framework 4
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 2.0 Service Pack 1 (x86)
Nøkkelord: 
kbexpertiseinter kbhowto kbsecurity kbsurveynew KB2425938

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com