Konfigurera äldre krypteringsläge i ASP.NET

Artikel-id: 2425938 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

Sammanfattning

Säkerhetsuppdateringen som beskrivs i Microsofts säkerhetsbulletin MS10-070 ändrar standardkrypteringsmekanismen i ASP.NET så att även verifiering (signering) utförs, utöver kryptering. I den här artikeln beskrivs konfigurationsalternativ för att återställa till det tidigare krypteringsfunktionssättet i ASP.NET.

Mer information om den här säkerhetsuppdateringen finns på följande webbplats:
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
(http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx)
Tillbaka till början | Ge feedback

Mer Information

Med ASP.NET kan användarna välja att kryptera eller verifiera data genom konfigurering i MachineKey-avsnittet. Den säkerhetsuppdatering som beskrivs i säkerhetsbulletinen MS10-070 ändrar standardmetoden för kryptering i ASP.NET så att även verifiering utförs, även om bara kryptering krävs.

När du har installerat säkerhetsuppdateringen som beskrivs i säkerhetsbulletin MS10-070 utförs följande åtgärder när kryptering är inställt i ASP.NET:
  • Under datakrypteringen genereras en HMAC-signatur för krypterade data, som läggs till i informationen.
  • Under datakrypteringen verifieras HMAC-signaturen innan data krypteras.
Följande nycklar i ASP.NET-programinställningarna (appSettings) styr funktionen för signering utöver kryptering.
Dölj tabellenVisa tabellen
NyckelTypStandardvärdeStöds i .NET-versioner
aspnet:UseLegacyEncryptionBooleskFalseMicrosoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryptionBooleskFalseMicrosoft .NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFilesBooleskFalseMicrosoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

Beskrivning av aspnet:UseLegacyEncryption appSetting

Den här programinställningen anger om krypteringen också ska omfatta verifiering med en HMAC-nyckel även när verifieringsavsnittet i machineKey i ASP.NET-konfigureringen inte är inställd på HMAC-signaturverifiering.
Dölj tabellenVisa tabellen
aspnet:UseLegacyEncryptionBeskrivning
False (Standard)Med den här inställningen konfigureras ASP.NET så att även HMAC-signaturverifiering utförs när ASP.NET är konfigurerat för att använda kryptering. Detta sker även om verifieringen i machineKey inte är konfigurerad för signering med en HMAC-nyckel.
TrueMed den här inställningen konfigureras ASP.NET så att ingen HMAC-signaturverifiering utförs när kryptering och inte HMAC-signering är konfigurerat i machineKey.

Obs! Den här inställningen kan möjliggöra för en skadlig klient att dekryptera, förfalska eller på annat sätt manipulera krypterade data.

Du kan ange den här inställningen genom att lägga till följande konfigurering i datorns eller programmets web.config-fil:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

Beskrivning av aspnet:UseLegacyMachineKeyEncryption appSetting

Den här programinställningen anger om krypteringen via System.Web.Security.MachineKey-klassen ska utföra ytterligare verifiering med en HMAC-nyckel även när MachineKeyProtection-argumentet inte anger att en sådan verifiering ska ske.
Dölj tabellenVisa tabellen
aspnet:UseLegacyMachineKeyEncryptionBeskrivning
False (Standard)Med den här inställningen konfigureras ASP.NET så att även HMAC-signaturverifiering utförs via MachineKey-klassen när ASP.NET är konfigurerat för att använda kryptering. Detta sker även om MachineKeyProtection-argumentet inte anger att en sådan verifiering ska utföras.
TrueMed den här inställningen konfigureras ASP.NET så att ingen HMAC-signaturverifiering sker via MachineKey-klassen när kryptering och inte HMAC-signering är konfigurerat via det angivna MachineKeyProtection-argumentet.

Obs! Den här inställningen kan möjliggöra för en skadlig klient att dekryptera, förfalska eller på annat sätt manipulera krypterade data.

Du kan konfigurera inställningen genom att lägga till följande konfigurering i datorns eller programmets web.config-fil:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

Beskrivning av aspnet:ScriptResourceAllowNonJsFiles appSetting

Programinställningen visar om ScriptResource.axd-hanteraren i ASP.NET ska serva icke-JavaScript-filer (.js-tillägg). ScriptResource.axd är en ASP.NET-hanterare som returnerar JavaScript-källfiler till AJAX-komponenter på en ASP.NET-webbsida.
Dölj tabellenVisa tabellen
aspnet:ScriptResourceAllowNonJsFilesBeskrivning
False (Standard)Inställningen konfigurerar ASP.NET så att endast statiska filer med .js-tillägget (JavaScript) servas via ScriptResource.axd-hanteraren.
TrueMed den här inställningen konfigureras ASP.NET till att serva alla statiska filer som ASP.NET-programmet har åtkomst till via ScriptResource.axd-hanteraren.

Obs! Inställningen gör det möjligt för vilken fil som helst i ASP.NET-programmet att servas via hanteraren. Om någon sådan fil innehåller känslig eller konfidentiell information kan det innebära att sådan information läcker till en klient.

Du kan konfigurera inställningen genom att lägga till följande konfigurering i datorns eller programmets web.config-fil:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>
Tillbaka till början | Ge feedback

Referenser

Ytterligare information om MachineKey-elementet finns på följande Microsoft-webbplats:
http://msdn.microsoft.com/sv-se/library/w8h3skw9.aspx
(http://msdn.microsoft.com/sv-se/library/w8h3skw9.aspx)
Mer information om System.Web.Security.MachineKey-klassen finns på följande Microsoft-webbplats:
http://msdn.microsoft.com/sv-se/library/system.web.security.machinekey.aspx
(http://msdn.microsoft.com/sv-se/library/system.web.security.machinekey.aspx)
Mer information om att använda programinställningar (appSettings) får du om du klickar på följande artiklenummer och läser artiklarna i Microsoft Knowledge Base:
815786
(http://support.microsoft.com/kb/815786/ )
Lagra och hämta anpassad information från en programkonfigurationsfil med hjälp av Visual C#
313405
(http://support.microsoft.com/kb/313405 / )
Lagra och hämta anpassad information från en programkonfigurationsfil med hjälp av Visual Basic .NET eller Visual Basic 2005
Om du vill veta mer om ASP.NET-konfigurering klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
307626
(http://support.microsoft.com/kb/307626/ )
INFO: Översikt över ASP.NET-konfigurering
Tillbaka till början | Ge feedback
Obs! Det här är en "FAST PUBLISH?-artikel som skapats direkt inom Microsofts supportorganisation. Informationen i artikeln tillhandahålls i befintligt skick för att besvara framtida frågor. På grund av den snabba framtagningen kan materialet innehålla typografiska fel och kan utan förvarning när som helst komma att omarbetas. Se användarvillkoren
(http://go.microsoft.com/fwlink/?LinkId=151500)
för andra hänsynstaganden.
Tillbaka till början | Ge feedback

Egenskaper

Artikel-id: 2425938 - Senaste granskning: den 25 oktober 2010 - Revision: 1.0
Informationen i denna artikel gäller:
  • Microsoft .NET Framework 4.0
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 2.0 Service Pack 1 (x86)
Nyckelord: 
kbexpertiseinter kbhowto kbsecurity kbsurveynew KB2425938
Tillbaka till början | Ge feedback

Ge feedback

 
Tillbaka till börjanTillbaka till början