Настройка режима традиционного шифрования в ASP.NET

Переводы статьи Переводы статьи
Код статьи: 2425938 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

Обновление для системы безопасности, описанное в бюллетене по безопасности Майкрософт MS10-070, вносит изменения в механизм шифрования по умолчанию в ASP.NET, что позволяет выполнять подтверждение подлинности (подписывание) в дополнение к шифрованию. В этой статье описываются параметры конфигурации, позволяющие вернуться к традиционному шифрованию в ASP.NET.

Дополнительные сведения об этом обновлении для системы безопасности см. на веб-сайте Майкрософт по адресу
http://www.microsoft.com/rus/technet/security/bulletin/ms10-070.mspx

Дополнительная информация

ASP.NET позволяет дополнительно шифровать или подтверждать подлинность данных с использованием конфигурации в разделе MachineKey. Обновление для системы безопасности, описанное в бюллетене MS10-070, изменяет поведение шифрования в ASP.NET по умолчанию, позволяя выполнять подтверждение подлинности (подписывание) в дополнение к шифрованию, даже если было запрошено только шифрование.

После установки обновления для системы безопасности, описанного в бюллетене по безопасности MS10-070, при настройке шифрования для ASP.NET выполняются перечисленные ниже действия.
  • Во время шифрования данных для них создается сигнатура HMAC, которая прикрепляется к данным.
  • Перед выполнением расшифровки проверяется подлинности сигнатуры HMAC.
Перечисленные ниже параметры приложения (appSettings) ASP.NET управляют применением подписывания в дополнение к шифрованию.
Свернуть эту таблицуРазвернуть эту таблицу
ПараметрТипЗначение по умолчаниюПоддерживаемые версии .NET
aspnet:UseLegacyEncryptionЛогическийЛожьMicrosoft .NET Framework 2.0 с пакетом обновления 1 (SP1)
Microsoft .NET Framework 2.0 с пакетом обновления 2 (SP2)
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 с пакетом обновления 1 (SP1)
Microsoft .NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryptionЛогическийЛожьMicrosoft .NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFilesЛогическийЛожьMicrosoft .NET Framework 3.5 с пакетом обновления 1 (SP1)
Microsoft .NET Framework 4.0

Описание параметра aspnet:UseLegacyEncryption

Этот параметр определяет, будет ли выполняться дополнительная проверка подлинности с ключом HMAC даже в тех случаях, когда подраздел подтверждения подлинности раздела machineKey конфигурации ASP.NET не настроен на проверку сигнатуры HMAC.
Свернуть эту таблицуРазвернуть эту таблицу
aspnet:UseLegacyEncryptionОписание
Ложь (по умолчанию)Этот параметр определяет дополнительное выполнение проверки подлинности сигнатуры HMAC при настройке ASP.NET на использование шифрования. Проверка выполняется, даже если раздел machineKey не указывает на подписывание с использованием ключа HMAC.
ИстинаПараметр указывает ASP.NET не выполнять проверку подлинности сигнатуры HMAC в тех случаях, когда раздел machineKey настроен на использование шифрования, но не подписывания HMAC.

Примечание. Этот параметр может позволить вредоносному клиенту расшифровывать, фальсифицировать и выполнять другие действия с зашифрованными данными.

Для настройки этого параметра следует добавить следующую конфигурацию в файл web.config:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

Описание параметра aspnet:UseLegacyMachineKeyEncryption

Этот параметр определяет, будет ли выполняться дополнительная проверка подлинности с помощью класса System.Web.Security.MachineKey ключа HMAC даже в тех случаях, когда представленный аргумент MachineKeyProtection не указывает на выполнение проверки подлинности.
Свернуть эту таблицуРазвернуть эту таблицу
aspnet:UseLegacyMachineKeyEncryptionОписание
Ложь (по умолчанию)Этот параметр определяет дополнительное выполнение проверки подлинности сигнатуры HMAC с помощью класса MachineKey при настройке ASP.NET на использование шифрования. Она производится даже если представленный аргумент MachineKeyProtection не указывает на выполнение проверки подлинности.
ИстинаЭтот параметр приводит к отказу от выполнения проверки подлинности сигнатуры HMAC с помощью класса MachineKey в тех случаях, когда ASP.NET настроена на использование шифрования без применения подписи HMAC через представленный аргумент MachineKeyProtection.

Примечание. Этот параметр может позволить вредоносному клиенту расшифровывать, фальсифицировать и выполнять другие действия с зашифрованными данными.

Для настройки этого параметра следует добавить следующую конфигурацию в файл web.config:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

Описание параметра aspnet:ScriptResourceAllowNonJsFiles

Этот параметр определяет, будет ли обработчик ScriptResource.axd в ASP.NET обслуживать файлы, не являющиеся файлами JavaScript (расширение JS). ScriptResource.axd — это обработчик ASP.NET, который возвращает исходные файлы JavaScript компонентам AJAX на веб-страницах ASP.NET.
Свернуть эту таблицуРазвернуть эту таблицу
aspnet:ScriptResourceAllowNonJsFilesОписание
Ложь (по умолчанию)Этот параметр настраивает ASP.NET на обслуживание с помощью обработчика ScriptResource.axd только статических файлов с расширением JS (JavaScript).
ИстинаЭтот параметр настраивает ASP.NET на обслуживание любых статических файлов, к которым приложение ASP.NET имеет доступ через обработчик ScriptResource.axd.

Примечание. Этот параметр позволяет выдавать любой файл приложения ASP.NET через обработчик. Если такой файл содержит важные или конфиденциальные данные, этот параметр может привести к их утечке клиенту.

Для настройки этого параметра следует добавить следующую конфигурацию в файл web.config:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>

Ссылки

Дополнительные сведения о разделе MachineKey см. на следующем веб-сайте корпорации Майкрософт:
http://msdn.microsoft.com/ru-ru/library/w8h3skw9.aspx
Дополнительные сведения о классе System.Web.Security.MachineKey см. на следующем веб-сайте корпорации Майкрософт:
http://msdn.microsoft.com/ru-ru/library/system.web.security.machinekey.aspx
Дополнительные сведения об использовании параметров приложения (appSettings) см. в следующих статьях базы знаний Майкрософт:
815786 Сохранение пользовательских данных в конфигурационном файле приложения и их извлечение из него с использованием Visual C#
313405 Сохранение пользовательских данных в конфигурационном файле приложения и их извлечение из него с использованием Visual Basic .NET или Visual Basic 2005
Дополнительные сведения о настройке ASP.Net см. в следующей статье базы знаний Майкрософт:
307626 Сведения: обзор конфигурации ASP.NET
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 2425938 - Последний отзыв: 26 октября 2010 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft .NET Framework 4
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 2.0 Service Pack 1 (x86)
Ключевые слова: 
kbexpertiseinter kbhowto kbsecurity kbsurveynew KB2425938

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com