كيفية تكوين وضع التشفير القديمة في ASP.NET

ملخص

التحديث الأمني الموضح في نشرة الأمن MS10-070 إجراء تغييرات إليه التشفير الافتراضية في ASP.NET لتنفيذ التحقق من الصحة (توقيع) بالإضافة إلى التشفير. توضح هذه المقالة خيارات التكوين للعودة إلى السلوك القديم للتشفير في ASP.NET.

لمزيد من المعلومات حول هذا التحديث الأمني، قم بزيارة موقع ويب التالي:

مزيد من المعلومات

ASP.NET يسمح للمستخدمين بتشفير أو التحقق من صحة البيانات من خلال التكوين في المقطع MachineKey اختيارياً. تحديث تحديث الأمان التي تم تناولها بواسطة الأمان MS10-070 تغييرات السلوك الافتراضي للتشفير في ASP.NET لإجراء التحقق من الصحة بالإضافة إلى تشفير حتى إذا طلب التشفير فقط.

بعد تثبيت التحديث الأمني الموضح في نشرة الأمن MS10-070، يتم تنفيذ العمليات التالية عند إعداد التشفير ل ASP.NET:
  • أثناء تشفير البيانات، توقيع HMAC للبيانات المشفرة والملحقة به.
  • أثناء فك تشفير البيانات، يتم التحقق من التوقيع HMAC قبل أن يتم فك تشفير البيانات.
المفاتيح التالية في تطبيق ASP.NET الإعدادات (appSettings) تحكم سلوك توقيع بالإضافة إلى ذلك إلى تشفير.
مفتاحنوعالقيمة الافتراضيةالإصدارات المعتمدة on.NET
aspnet:UseLegacyEncryptionقيمة منطقيةخطأMicrosoft.NET Framework 2.0 Service Pack 1
Microsoft.NET Framework 2.0 Service Pack 2
Microsoft NET Framework 35
Microsoft NET Framework 35 Service Pack 1
Microsoft.NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryptionقيمة منطقيةخطأMicrosoft.NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFilesقيمة منطقيةخطأMicrosoft NET Framework 35 Service Pack 1
Microsoft.NET Framework 4.0

وصف aspnet:UseLegacyEncryption appSetting

يحدد هذا الإعداد تطبيق ما إذا كان التشفير بالإضافة إلى ذلك سيقوم التحقق من الصحة مع مفتاح HMAC حتى إذا لم يتم تكوين المقطع التحقق من الصحة في machineKey تكوين ASP.NET للتحقق من صحة التوقيع HMAC.
aspnet:UseLegacyEncryptionالوصف
خطأ (افتراضي)هذا الإعداد بتكوين ASP.NET لإجراء التحقق من صحة التوقيع HMAC بالإضافة إلى ذلك، عندما يتم تكوين ASP.NET لاستخدام التشفير. يحدث هذا حتى إذا لم يتم تكوين التحقق من الصحة في machineKey التوقيع باستخدام مفتاح HMAC.
صحيحهذا الإعداد بتكوين ASP.NET لا لإجراء التحقق من صحة التوقيع HMAC عندما تم تكوينه لاستخدام التشفير و HMAC التوقيع عن طريق التحقق من الصحة في machineKey.

ملاحظة: قد يسمح هذا الإعداد عميل ضار فك تشفير أو تزوير أو خلاف ذلك التلاعب بالبيانات المشفرة.

لتكوين هذا الإعداد، إضافة التكوين التالي في الملف web.config الكمبيوتر أو التطبيق الخاص بك:
<configuration>...
<appSettings>
...
<add key="aspnet:UseLegacyEncryption" value="false" />
</appSettings>
</configuration>

وصف aspnet:UseLegacyMachineKeyEncryption appSetting

يحدد هذا الإعداد تطبيق ما التشفير خلال فئة System.Web.Security.MachineKey بالإضافة إلى ذلك سيقوم التحقق من الصحة مع مفتاح HMAC حتى عندما لا تحدد الوسيطة ماتشينيكييبروتيكشن المتوفر التحقق من صحة.
aspnet:UseLegacyMachineKeyEncryptionالوصف
خطأ (افتراضي)هذا الإعداد بتكوين ASP.NET لإجراء التحقق من صحة التوقيع HMAC خلال فئة MachineKey بالإضافة إلى ذلك عندما يتم تكوين ASP.NET لاستخدام التشفير. يحدث هذا حتى إذا لم تحدد الوسيطة ماتشينيكييبروتيكشن المقدمة إجراء التحقق من الصحة.
صحيحهذا الإعداد تكوين ASP.NET لا لإجراء التحقق من صحة التوقيع HMAC خلال فئة MachineKey عندما تم تكوينه لاستخدام التشفير و HMAC التوقيع من خلال وسيطة ماتشينيكييبروتيكشن المتوفرة.

ملاحظة: قد يسمح هذا الإعداد عميل ضار فك تشفير أو تزوير أو خلاف ذلك التلاعب بالبيانات المشفرة.

لتكوين هذا الإعداد، إضافة التكوين التالي في الملف web.config الكمبيوتر أو التطبيق الخاص بك:
<configuration>...
<appSettings>
...
<add key="aspnet:UseLegacyMachineKeyEncryption" value="false" />
</appSettings>
</configuration>

وصف aspnet:ScriptResourceAllowNonJsFiles appSetting

يحدد هذا الإعداد تطبيق ما يعمل معالج ScriptResource.axd في ASP.NET ملفات JavaScript غير (ملحق.js). ScriptResource.axd هو معالج ASP.NET يقوم بإرجاع الملفات المصدر JavaScript لمكونات AJAX في صفحات ويب ASP.NET.
aspnet:ScriptResourceAllowNonJsFilesالوصف
خطأ (افتراضي)هذا الإعداد بتكوين ASP.NET لخدمة الملفات التي لها ملحق.js (JavaScript) من خلال معالج ScriptResource.axd الثابتة فقط.
صحيحهذا الإعداد بتكوين ASP.NET لخدمة أي ملف ثابت لدى التطبيق ASP.NET الوصول إلى من خلال معالج ScriptResource.axd.

ملاحظة: يسمح هذا الإعداد أي ملف داخل تطبيق ASP.NET الخاص بك يتم تقديمها من خلال المعالج. إذا كان أي ملفات تحتوي على بيانات حساسة أو سرية، المحتمل أن يمكن هذا الإعداد ثم لتسريب معلومات حساسة إلى عميل.

لتكوين هذا الإعداد، إضافة التكوين التالي في الملف web.config الكمبيوتر أو التطبيق الخاص بك:
<configuration>...
<appSettings>
...
<add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" />
</appSettings>
</configuration>

المراجع

لمزيد من المعلومات حول المقطع MachineKey، قم بزيارة موقع Microsoft التالي على الويب:
لمزيد من المعلومات حول فئة System.Web.Security.MachineKey ، قم بزيارة موقع Microsoft التالي على الويب:
لمزيد من المعلومات حول كيفية استخدام إعدادات التطبيق (appSettings)، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
815786 كيفية تخزين واسترداد المعلومات المخصصة من ملف تكوين تطبيق باستخدام Visual C #
313405 كيفية تخزين واسترداد المعلومات المخصصة من ملف تكوين تطبيق باستخدام Visual Basic.NET أو Visual Basic 2005




لمزيد من المعلومات حول تكوين ASP.Net، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
معلومات 307626 : نظرة عامة حول تكوين ASP.NET
خصائص

رقم الموضوع: 2425938 - آخر مراجعة: 21‏/01‏/2017 - المراجعة: 1

تعليقات