Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Sammanfattning

Säkerhetsuppdateringen som beskrivs i Microsofts säkerhetsbulletin MS10-070 ändrar standardkrypteringsmekanismen i ASP.NET så att även verifiering (signering) utförs, utöver kryptering. I den här artikeln beskrivs konfigurationsalternativ för att återställa till det tidigare krypteringsfunktionssättet i ASP.NET.

Mer information om den här säkerhetsuppdateringen finns på följande webbplats:

http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx

Mer Information

Med ASP.NET kan användarna välja att kryptera eller verifiera data genom konfigurering i MachineKey-avsnittet. Den säkerhetsuppdatering som beskrivs i säkerhetsbulletinen MS10-070 ändrar standardmetoden för kryptering i ASP.NET så att även verifiering utförs, även om bara kryptering krävs.

När du har installerat säkerhetsuppdateringen som beskrivs i säkerhetsbulletin MS10-070 utförs följande åtgärder när kryptering är inställt i ASP.NET:

  • Under datakrypteringen genereras en HMAC-signatur för krypterade data, som läggs till i informationen.

  • Under datakrypteringen verifieras HMAC-signaturen innan data krypteras.

Följande nycklar i ASP.NET-programinställningarna (appSettings) styr funktionen för signering utöver kryptering.

Nyckel

Typ

Standardvärde

Stöds i .NET-versioner

aspnet:UseLegacyEncryption

Boolesk

False

Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

aspnet:UseLegacyMachineKeyEncryption

Boolesk

False

Microsoft .NET Framework 4.0

aspnet:ScriptResourceAllowNonJsFiles

Boolesk

False

Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

Beskrivning av aspnet:UseLegacyEncryption appSetting

Den här programinställningen anger om krypteringen också ska omfatta verifiering med en HMAC-nyckel även när verifieringsavsnittet i machineKey i ASP.NET-konfigureringen inte är inställd på HMAC-signaturverifiering.

aspnet:UseLegacyEncryption

Beskrivning

False (Standard)

Med den här inställningen konfigureras ASP.NET så att även HMAC-signaturverifiering utförs när ASP.NET är konfigurerat för att använda kryptering. Detta sker även om verifieringen i machineKey inte är konfigurerad för signering med en HMAC-nyckel.

True

Med den här inställningen konfigureras ASP.NET så att ingen HMAC-signaturverifiering utförs när kryptering och inte HMAC-signering är konfigurerat i machineKey.

Obs! Den här inställningen kan möjliggöra för en skadlig klient att dekryptera, förfalska eller på annat sätt manipulera krypterade data.


Du kan ange den här inställningen genom att lägga till följande konfigurering i datorns eller programmets web.config-fil:

<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration> 

Beskrivning av aspnet:UseLegacyMachineKeyEncryption appSetting

Den här programinställningen anger om krypteringen via System.Web.Security.MachineKey-klassen ska utföra ytterligare verifiering med en HMAC-nyckel även när MachineKeyProtection-argumentet inte anger att en sådan verifiering ska ske.

aspnet:UseLegacyMachineKeyEncryption

Beskrivning

False (Standard)

Med den här inställningen konfigureras ASP.NET så att även HMAC-signaturverifiering utförs via MachineKey-klassen när ASP.NET är konfigurerat för att använda kryptering. Detta sker även om MachineKeyProtection-argumentet inte anger att en sådan verifiering ska utföras.

True

Med den här inställningen konfigureras ASP.NET så att ingen HMAC-signaturverifiering sker via MachineKey-klassen när kryptering och inte HMAC-signering är konfigurerat via det angivna MachineKeyProtection-argumentet.

Obs! Den här inställningen kan möjliggöra för en skadlig klient att dekryptera, förfalska eller på annat sätt manipulera krypterade data.


Du kan konfigurera inställningen genom att lägga till följande konfigurering i datorns eller programmets web.config-fil:

<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration> 

Beskrivning av aspnet:ScriptResourceAllowNonJsFiles appSetting

Programinställningen visar om ScriptResource.axd-hanteraren i ASP.NET ska serva icke-JavaScript-filer (.js-tillägg). ScriptResource.axd är en ASP.NET-hanterare som returnerar JavaScript-källfiler till AJAX-komponenter på en ASP.NET-webbsida.

aspnet:ScriptResourceAllowNonJsFiles

Beskrivning

False (Standard)

Inställningen konfigurerar ASP.NET så att endast statiska filer med .js-tillägget (JavaScript) servas via ScriptResource.axd-hanteraren.

True

Med den här inställningen konfigureras ASP.NET till att serva alla statiska filer som ASP.NET-programmet har åtkomst till via ScriptResource.axd-hanteraren.

Obs! Inställningen gör det möjligt för vilken fil som helst i ASP.NET-programmet att servas via hanteraren. Om någon sådan fil innehåller känslig eller konfidentiell information kan det innebära att sådan information läcker till en klient.


Du kan konfigurera inställningen genom att lägga till följande konfigurering i datorns eller programmets web.config-fil:

<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration> 

Referenser

Ytterligare information om MachineKey-elementet finns på följande Microsoft-webbplats:

http://msdn.microsoft.com/sv-se/library/w8h3skw9.aspx Mer information om System.Web.Security.MachineKey-klassen finns på följande Microsoft-webbplats:

http://msdn.microsoft.com/sv-se/library/system.web.security.machinekey.aspxMer information om att använda programinställningar (appSettings) får du om du klickar på följande artiklenummer och läser artiklarna i Microsoft Knowledge Base:

815786 Lagra och hämta anpassad information från en programkonfigurationsfil med hjälp av Visual C#
313405 Lagra och hämta anpassad information från en programkonfigurationsfil med hjälp av Visual Basic .NET eller Visual Basic 2005




Om du vill veta mer om ASP.NET-konfigurering klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

307626 INFO: Översikt över ASP.NET-konfigurering

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×