ID do artigo: 2425938 - �ltima revis�o: quarta-feira, 27 de outubro de 2010 - Revis�o: 1.0

Como configurar o modo de criptografia de legado no ASP.NET

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Expandir tudo | Recolher tudo

Sum�rio

A atualiza��o de seguran�a descrita no boletim de seguran�a Microsoft MS10-070 faz altera��es no mecanismo de criptografia padr�o no ASP.NET para executar a valida��o (assinatura) al�m da criptografia. Este artigo descreve as op��es de configura��o para reverter para o comportamento de legado para criptografia no ASP.NET.

Para obter mais informa��es sobre esta atualiza��o de seguran�a, visite o seguinte site:

http://www.microsoft.com/brasil/technet/security/bulletin/ms10-070.mspx (http://www.microsoft.com/brasil/technet/security/bulletin/ms10-070.mspx)

Voltar para o in�cio

Mais Informa��es

O ASP.NET permite que os usu�rios criptografem ou validem dados atrav�s da configura��o na se��o MachineKey. A atualiza��o de seguran�a corrigida pela atualiza��o MS10-070 altera o comportamento padr�o da criptografia no ASP.NET para executar a valida��o al�m da criptografia mesmo se esta for solicitada.

Depois que voc� instalar a atualiza��o de seguran�a descrita no boletim de seguran�a MS19-070, as opera��es a seguir ser�o executadas quando a criptografia for configurada para o ASP.NET:

Durante a criptografia de dados, uma assinatura HMAC � gerada e anexada a eles.
A assinatura HMAC � validada antes da descriptografia de dados.

Al�m da criptografia, as seguintes chaves nas configura��es do aplicativo ASP.NET (appSettings) controlam o comportamento da assinatura.

Recolher esta tabelaExpandir esta tabela

Chave	Tipo	Valor padr�o	Vers�es com suporte on.NET
aspnet:UseLegacyEncryption	Valor booleano	False	Microsoft .NET Framework 2.0 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.5 Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryption	Valor booleano	False	Microsoft .NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFiles	Valor booleano	False	Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4.0

Descri��o do aspnet:UseLegacyEncryption appSetting

Essa configura��o de aplicativo especifica se a criptografia executar� a valida��o com uma chave HMAC mesmo se a se��o de valida��o em machineKey da configura��o ASP.NET n�o for configurada para a valida��o de assinatura HMAC.

Recolher esta tabelaExpandir esta tabela

aspnet:UseLegacyEncryption	Descri��o
False (padr�o)	Esta op��o configura o ASP.NET para executar a valida��o de assinatura HMAC quando o ASP.NET for configurado para usar a criptografia. Isso ocorrer� mesmo se a valida��o em machineKey n�o estiver configurada para assinar usando uma chave HMAC.
True	Nesta configura��o, o ASP.NET n�o executa a valida��o de assinatura HMAC quando estiver configurado para usar criptografia e n�o a assinatura HMAC atrav�s da valida��o em machineKey. Observa��o Essa configura��o pode permitir que um cliente mal intencionado descriptografe, falsifique ou viole os dados criptografados.

Para definir essa configura��o, adicione a configura��o a seguir no seu computador ou no arquivo web.config do aplicativo:

<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

Descri��o de aspnet:UseLegacyMachineKeyEncryption appSetting

Esta configura��o de aplicativo especifica se a criptografia pela classe System.Web.Security.MachineKey tamb�m executar� uma valida��o com uma chave HMAC mesmo quando o argumento MachineKeyProtection fornecido n�o especifica se a valida��o foi executada.

Recolher esta tabelaExpandir esta tabela

aspnet:UseLegacyMachineKeyEncryption	Descri��o
False (padr�o)	Nesta configura��o, o ASP.NET tamb�m executa a valida��o de assinatura HMAC atrav�s da classe MachineKey quando o ASP.NET for configurado para usar a criptografia. Isso ocorrer� mesmo se o argumento MachineKeyProtection fornecido n�o especifica se a valida��o foi executada.
True	Nesta configura��o, o ASP.NET n�o executa a valida��o da assinatura HMAC atrav�s da classe MachineKey quando ela est� configurada para usar a criptografia e n�o a assinatura HMAC pelo argumento MachineKeyProtection fornecido. Observa��o Essa configura��o pode permitir que um cliente mal intencionado descriptografe, falsifique ou viole os dados criptografados.

Para definir essa configura��o, adicione a seguinte configura��o no seu computador ou no arquivo web.config do aplicativo:

<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

Descri��o de aspnet:ScriptResourceAllowNonJsFiles appSetting

Esta configura��o de aplicativo especifica se o manipulador do ScriptResource.axd no ASP.NET atender� arquivos que n�o s�o JavaScript (extens�o .js). ScriptResource.axd � um manipulador do ASP.NET que retorna os arquivos de origem do JavaScript para os componentes AJAX em uma p�gina do ASP.NET.

Recolher esta tabelaExpandir esta tabela

aspnet:ScriptResourceAllowNonJsFiles

Descri��o

False (padr�o)

Nesta configura��o, o ASP.NET atende somente arquivos est�ticos que possuem a extens�o .js (JavaScript) atrav�s do manipulador do ScriptResource.axd.

True

Nesta configura��o, o ASP.NET atende qualquer arquivo est�tico acess�vel ao aplicativo ASP.NET atrav�s do manipulador do ScriptResource.axd.

Observa��o�Essa configura��o permite que qualquer arquivo no seu aplicativo ASP.NET seja atendido pelo manipulador. Se um desses arquivos contiver dados importantes ou confidenciais, esta configura��o pode perder informa��es importantes de um cliente.�

Para definir essa configura��o, adicione a seguinte configura��o no seu computador ou no arquivo web.config do aplicativo:

<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>

Voltar para o in�cio

Refer�ncias

Para obter mais informa��es sobre a se��o MachineKey, visite o seguinte site da Microsoft:

http://msdn.microsoft.com/pt-br/library/w8h3skw9.aspx (http://msdn.microsoft.com/pt-br/library/w8h3skw9.aspx)

Para obter mais informa��es sobre a classe System.Web.Security.MachineKey, visite o seguinte site da Microsoft:

http://msdn.microsoft.com/pt-br/library/system.web.security.machinekey.aspx (http://msdn.microsoft.com/pt-br/library/system.web.security.machinekey.aspx)

Para obter mais informa��es sobre como usar as configura��es do aplicativo (appSettings), clique nos n�meros para exibir os artigos na Base de Dados de Conhecimento Microsoft:

815786� (http://support.microsoft.com/kb/815786/ ) Como armazenar e recuperar informa��es personalizadas de um arquivo de configura��o do aplicativo usando o Visual C#
313405 � (http://support.microsoft.com/kb/313405 / ) Como armazenar e recuperar informa��es personalizadas de um arquivo de configura��o do aplicativo usando o Visual Basic .NET ou o Visual Basic 2005

Para obter mais informa��es sobre a configura��o do ASP.NET, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft :

307626� (http://support.microsoft.com/kb/307626/ ) INFORMA��ES: Vis�o geral da configura��o de ASP.NET

Voltar para o in�cio

Observa��o: este � um artigo de ?PUBLICA��O R�PIDA? criado diretamente pela organiza��o de suporte da Microsoft. As informa��es aqui contidas s�o fornecidas no presente estado, em resposta a quest�es emergentes. Como resultado da velocidade de disponibiliza��o, os materiais podem incluir erros tipogr�ficos e poder�o ser revisados a qualquer momento, sem aviso pr�vio. Consulte os Termos de Uso (http://go.microsoft.com/fwlink/?LinkId=151500) para ver outras informa��es.

Voltar para o in�cio