Como configurar o modo de encriptação legada no ASP.NET

A actualização de segurança descrita no boletim de segurança MS10-070 da Microsoft efectua alterações ao mecanismo de encriptação predefinido do ASP.NET para que efectue a validação (assinatura), bem como a encriptação. Este artigo descreve opções de configuração para reverter o comportamento legado da encriptação no ASP.NET.

Para mais informações sobre esta actualização de segurança, visite o seguinte Web site:

O ASP.NET permite aos utilizadores optar por encriptar ou validar dados através da configuração da secção MachineKey. A actualização de segurança à qual o boletim MS10-070 se refere altera o comportamento predefinido da encriptação no ASP.NET para efectuar tanto a validação como a encriptação, mesmo que apenas seja necessária a encriptação.

Após instalar a actualização de segurança descrita no boletim de segurança MS10-070, são realizadas as seguintes operações ao configurar a encriptação para o ASP.NET:

• Durante a encriptação de dados, é gerada uma assinatura HMAC para os dados encriptados, a qual é anexada aos mesmos.
• Durante a desencriptação dos dados, a assinatura HMAC é validada antes da desencriptação dos dados.

As seguintes chaves das definições de aplicação (appSettings) do ASP.NET controlam tanto o comportamento da assinatura como o da encriptação.

Descrição da definição de aplicação aspnet:UseLegacyEncryption

Esta definição de aplicação especifica se a encriptação efectua adicionalmente a validação com uma chave HMAC, mesmo que a secção de validação da secção machineKey da configuração do ASP.NET não esteja configurada para a validação de assinaturas HMAC.

Para configurar esta definição, adicione a seguinte configuração ao ficheiro web.config do computador ou da aplicação:

Descrição da definição de aplicação aspnet:UseLegacyMachineKeyEncryption

Esta definição de aplicação especifica se a encriptação através da classe System.Web.Security.MachineKey irá efectuar adicionalmente a validação com uma chave HMAC mesmo que o argumento MachineKeyProtection fornecido não especifique que a validação seja efectuada.

Para configurar esta definição, adicione a seguinte configuração ao ficheiro web.config do computador ou da aplicação:

Descrição da definição de aplicação aspnet:ScriptResourceAllowNonJsFiles

Esta definição de aplicação especifica se o processador ScriptResource.axd do ASP.NET irá servir ficheiros que não JavaScript (extensão .js). O ScriptResource.axd é um processador do ASP.NET que devolve ficheiros de origem JavaScript a componentes AJAX numa página Web do ASP.NET.

Para configurar esta definição, adicione a seguinte configuração ao ficheiro web.config do computador ou da aplicação:

Para mais informações sobre a secção MachineKey, visite o seguinte Web site da Microsoft: Para mais informações sobre a classe System.Web.Security.MachineKey, visite o seguinte Web site da Microsoft: Para mais informações sobre como utilizar definições de aplicação (appSettings), clique nos números de artigo que se seguem para visualizar os artigos na Base de Dados de Conhecimento Microsoft: Para mais informações sobre a configuração do ASP.NET, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:

Nota Este é um artigo de ?PUBLICAÇÃO RÁPIDA? criado directamente a partir da organização de suporte da Microsoft. As informações contidas neste artigo são fornecidas ?tal como estão? em resposta a problemas recentes. Devido à urgência em disponibilizar este artigo, os materiais poderão incluir erros tipográficos e ser revistos em qualquer altura sem aviso prévio. Consulte os Termos de Utilização (http://go.microsoft.com/fwlink/?LinkId=151500) para outras considerações.