Sammanfattning
Säkerhetsuppdateringen som beskrivs i Microsofts säkerhetsbulletin MS10-070 ändrar standardkrypteringsmekanismen i ASP.NET så att även verifiering (signering) utförs, utöver kryptering. I den här artikeln beskrivs konfigurationsalternativ för att återställa till det tidigare krypteringsfunktionssättet i ASP.NET.
Mer information om den här säkerhetsuppdateringen finns på följande webbplats:
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
Mer Information
Med ASP.NET kan användarna välja att kryptera eller verifiera data genom konfigurering i MachineKey-avsnittet. Den säkerhetsuppdatering som beskrivs i säkerhetsbulletinen MS10-070 ändrar standardmetoden för kryptering i ASP.NET så att även verifiering utförs, även om bara kryptering krävs.
När du har installerat säkerhetsuppdateringen som beskrivs i säkerhetsbulletin MS10-070 utförs följande åtgärder när kryptering är inställt i ASP.NET:
-
Under datakrypteringen genereras en HMAC-signatur för krypterade data, som läggs till i informationen.
-
Under datakrypteringen verifieras HMAC-signaturen innan data krypteras.
Följande nycklar i ASP.NET-programinställningarna (appSettings) styr funktionen för signering utöver kryptering.
Nyckel |
Typ |
Standardvärde |
Stöds i .NET-versioner |
---|---|---|---|
aspnet:UseLegacyEncryption |
Boolesk |
False |
Microsoft .NET Framework 2.0 Service Pack 1 |
aspnet:UseLegacyMachineKeyEncryption |
Boolesk |
False |
Microsoft .NET Framework 4.0 |
aspnet:ScriptResourceAllowNonJsFiles |
Boolesk |
False |
Microsoft .NET Framework 3.5 Service Pack 1 |
Beskrivning av aspnet:UseLegacyEncryption appSetting
Den här programinställningen anger om krypteringen också ska omfatta verifiering med en HMAC-nyckel även när verifieringsavsnittet i machineKey i ASP.NET-konfigureringen inte är inställd på HMAC-signaturverifiering.
aspnet:UseLegacyEncryption |
Beskrivning |
---|---|
False (Standard) |
Med den här inställningen konfigureras ASP.NET så att även HMAC-signaturverifiering utförs när ASP.NET är konfigurerat för att använda kryptering. Detta sker även om verifieringen i machineKey inte är konfigurerad för signering med en HMAC-nyckel. |
True |
Med den här inställningen konfigureras ASP.NET så att ingen HMAC-signaturverifiering utförs när kryptering och inte HMAC-signering är konfigurerat i machineKey. |
Du kan ange den här inställningen genom att lägga till följande konfigurering i datorns eller programmets web.config-fil:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>
Beskrivning av aspnet:UseLegacyMachineKeyEncryption appSetting
Den här programinställningen anger om krypteringen via System.Web.Security.MachineKey-klassen ska utföra ytterligare verifiering med en HMAC-nyckel även när MachineKeyProtection-argumentet inte anger att en sådan verifiering ska ske.
aspnet:UseLegacyMachineKeyEncryption |
Beskrivning |
---|---|
False (Standard) |
Med den här inställningen konfigureras ASP.NET så att även HMAC-signaturverifiering utförs via MachineKey-klassen när ASP.NET är konfigurerat för att använda kryptering. Detta sker även om MachineKeyProtection-argumentet inte anger att en sådan verifiering ska utföras. |
True |
Med den här inställningen konfigureras ASP.NET så att ingen HMAC-signaturverifiering sker via MachineKey-klassen när kryptering och inte HMAC-signering är konfigurerat via det angivna MachineKeyProtection-argumentet. |
Du kan konfigurera inställningen genom att lägga till följande konfigurering i datorns eller programmets web.config-fil:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>
Beskrivning av aspnet:ScriptResourceAllowNonJsFiles appSetting
Programinställningen visar om ScriptResource.axd-hanteraren i ASP.NET ska serva icke-JavaScript-filer (.js-tillägg). ScriptResource.axd är en ASP.NET-hanterare som returnerar JavaScript-källfiler till AJAX-komponenter på en ASP.NET-webbsida.
aspnet:ScriptResourceAllowNonJsFiles |
Beskrivning |
---|---|
False (Standard) |
Inställningen konfigurerar ASP.NET så att endast statiska filer med .js-tillägget (JavaScript) servas via ScriptResource.axd-hanteraren. |
True |
Med den här inställningen konfigureras ASP.NET till att serva alla statiska filer som ASP.NET-programmet har åtkomst till via ScriptResource.axd-hanteraren. |
Du kan konfigurera inställningen genom att lägga till följande konfigurering i datorns eller programmets web.config-fil:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>
Referenser
Ytterligare information om MachineKey-elementet finns på följande Microsoft-webbplats:
http://msdn.microsoft.com/sv-se/library/w8h3skw9.aspx Mer information om System.Web.Security.MachineKey-klassen finns på följande Microsoft-webbplats:
http://msdn.microsoft.com/sv-se/library/system.web.security.machinekey.aspxMer information om att använda programinställningar (appSettings) får du om du klickar på följande artiklenummer och läser artiklarna i Microsoft Knowledge Base:
815786 Lagra och hämta anpassad information från en programkonfigurationsfil med hjälp av Visual C#
313405 Lagra och hämta anpassad information från en programkonfigurationsfil med hjälp av Visual Basic .NET eller Visual Basic 2005
Om du vill veta mer om ASP.NET-konfigurering klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
307626 INFO: Översikt över ASP.NET-konfigurering