الملخص
يعمل التحديث الأمني رقم ٢٦٣٨٤٢٠ (الموضح في نشرة الأمن MS11-100) على تغيير طريقة ASP.NET المتبعة في إنشاء بطاقات مصادقة النماذج. لا يتوافق السلوك الجديد مع السلوك السابق. تتعذر على الخوادم التي تستخدم السلوك القديم قراءة البطاقات التي يتم إنشاؤها باستخدام السلوك الجديد، والعكس صحيح. لذلك، إذا كنت تستخدم التطبيقات التي تستخدم مصادقة النماذج، يتعين عليك إجراء خطوات معينة عند توزيع التحديث الأمني رقم ٢٦٣٨٤٢٠ للتأكد من استخدام كافة الخوادم للسلوك الجديد بشكل متزامن.
دليل التوزيع
نظرًا لتغيير سلوك البطاقات، يتعين على مسؤولي الأنظمة ممن لديهم تطبيقات تستخدم مصادقة النماذج اتخاذ خطوات معينة عند توزيع التحديث الأمني رقم ٢٦٣٨٤٢٠ للتأكد من أن كافة الخوادم شرعت في استخدام السلوك الجديد بشكل متزامن.
لتحديد ما إذا كان التطبيق الخاص بك يستخدم مصادقة النماذج أم لا، افحص الملف System.web. تستخدم التطبيقات التي تستخدم مصادقة النماذج الإدخال التالي في الملف System.web:
<authentication mode="Forms">ملاحظات
-
وضع المصادقة الافتراضي هو "Windows".
-
يستخدم ASP.NET مصادقة النماذج فقط إذا تم تكوينه للقيام بذلك بشكل واضح.
إذا كنت تستخدم تطبيقات تستخدم مصادقة النماذج، يجب عليك توزيع التحديث الأمني رقم ٢٦٣٨٤٢٠ عن طريق استخدام إحدى الطرق التالية للتأكد من أن مواقع الويب لديك تعمل بشكل صحيح.
الطريقة الأولى
توزيع التحديث الأمني ٢٦٣٨٤٢٠ على كافة الخوادم النشطة في نظام مجموعة ASP.NET على الويب في نفس الوقت. للقيام بذلك، اتبع الخطوات التالية:
-
قم بإزالة نصف الخوادم الموجودة في نظام المجموعة على الويب من دوران موازن التحميل.
-
قم بتثبيت التحديث على تلك الخوادم.
-
قم بإضافة الخوادم مرة أخرى إلى الدوران أثناء جعل الخوادم المتبقية دون اتصال في نفس الوقت لتحديثها.
الطريقة الثانية
إذا لم تتمكن من توزيع التحديث الأمني رقم ٢٦٣٨٤٢٠ على كافة الخوادم الموجودة في نظام المجموعة على الويب في آن واحد، فاستخدم هذه الطريقة بدلاً من الطريقة السابقة.
ملاحظة لا نوصي باستخدام هذه الطريقة. عند تعيين هذا المُبدِّل، يمكنك تثبيت هذا التحديث الأمني على بعض الخوادم الموجودة في نظام المجموعة على الويب ومتابعة العمل من خلال استخدام السلوك القديم. ومع ذلك، فستكون الخوادم التي تستخدم مُبدِّل التكوين هذا في حالة غير آمنة، ولن تستفيد من كافة الإصلاحات الواردة في التحديث الأمني. لذلك، ينبغي إزالة مُبدِّل التكوين من أجل تمكين السلوك الآمن الجديد بمجرد توزيع التحديث الأمني رقم ٢٦٣٨٤٢٠ على كافة الخوادم الموجودة في نظام المجموعة على الويب.
قم بتعيين مُبدِّل توافق في الملف Web.config أو الملف Machine.config قبل تثبيت التحديث الأمني رقم ٢٦٣٨٤٢٠ لفرض السلوك القديم عند تثبيت التحديث. للقيام بذلك، اتبع الخطوات التالية:
-
افتح إما الملف Web.config أو الملف Machine.config باستخدام محرر نص مثل "المفكرة".
-
قم بإضافة النص التالي إلى الملف، ثم قم بحفظ الملف:
<appSettings>
<add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
</appSettings>لا يتعين عليك إعادة تشغيل الكمبيوتر أو الخدمات بعد تحديث ملف Web.config أو ملف Machine.config ثم حفظه. سيقوم إعلام تغيير التكوين بتدوير تجمع التطبيقات تلقائيًا.
يمكنك العثور على ملفات Web.config في المواقع التالية:
إصدارات .NET Framework بدءًا من الإصدار 4.0 حتى الإصدار 4.5
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config إصدارات .NET Framework بدءًا من الإصدار 2.0 حتى الإصدار 3.5 المزودة بحزمة الخدمة SP1
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config في كمبيوتر ٣٢ بت، سيتوفر المجلد Framework فقط. في كمبيوتر ٦٤ بت، سيتوفر كل من المجلد Framework والمجلد Framework64 كليهما. لذلك، إذا كانت لديك تجمعات تطبيقات ٣٢ بت و٦٤ بت تقوم بتشغيل مزيج من CLR 2 + CLR 4، فسيتعين عليك إضافة الإدخال إلى هذه الملفات الأربعة جميعها.
إذا قمت بإضافة الإدخال <appSettings> إلى ملفات التكوين هذه، فسيتم تطبيق التغيير على النظام بأكمله.
المشاكل المعروفة
-
فشل فك تشفير البطاقة بعد تثبيت التحديث الأمني رقم ٢٦٣٨٤٢٠
بعد تمكين سلوك البطاقة الجديد، سيتم إبطال كافة بطاقات مصادقة النماذج التي تم إنشاؤها باستخدام السلوك القديم. عند حدوث هذه المشكلة، يتم تسجيل خروج المستخدمين النهائيين وقد يواجه مسؤولو الخوادم إخفاقات أثناء فك تشفير البطاقات.
بالإضافة إلى ذلك، يتم تسجيل رسالة الخطأ التالية في سجل الأحداث:اسم السجل: التطبيق
معرف الحدث: 1315
رمز الحدث: 4005
رسالة الحدث: فشلت مصادقة النماذج للطلب. السبب: البطاقة التي تم توفيرها غير صالحة.
قد تتسبب هذه الإخفاقات في إحداث سلوك غير متوقع. على سبيل المثال، قد يحدث الخطأ "HTTP 401" أو الخطأ "HTTP 302" إذا تمت حماية صفحات الويب من قِبل عنصر <مصادقة>.
بعد تثبيت التحديث الأمني رقم ٢٦٣٨٤٢٠، يتوقع المسؤولون مواجهة العديد من هذه الإخفاقات المعنية بفك تشفير البطاقات نظرًا لانتهاء صلاحية البطاقات التي تم إنشاؤها مسبقًا. ينبغي أن يقل عدد هذه الإخفاقات ومعدل تكرارها على مدار الوقت بينما يتم إنشاء البطاقات الجديدة. إذا استمرت الإخفاقات المعنية بفك التشفير خلال مدة معينة بعد تثبيت هذا التحديث الأمني، فقد يشير ذلك إلى أن بعض الخوادم الموجودة في نظام المجموعة على الويب لا تزال تستخدم سلوك البطاقة القديم. على سبيل المثال، قد تحدث هذه المشكلة إذا توفرت أي من الحالات التالية:-
لم يتم تحديث خادم واحد أو أكثر بالتحديث الأمني رقم ٢٦٣٨٤٢٠.
-
تتوفر مجموعة مُبدِّلات التوافق سابقة الذكر لدى خادم واحد أو أكثر. تم وصف مُبدِّل التوافق سابقا في هذه المقالة.
-
معلومات أخرى
انتهاء دعم مُبدِّل التكوين TicketCompatibilityMode
نظرًا لقيام التحديث الأمني رقم ٢٦٣٨٤٢٠ بتغيير تنسيق بطاقات مصادقة النماذج، فلن يتم دعم مُبدِّل التكوين <forms/ticketCompatibilityMode> إذا تم تثبيت التحديث الأمني رقم ٢٦٣٨٤٢٠ وتمكينه.
لمزيد من المعلومات حول مُبدِّل التكوين <forms/ticketCompatibilityMode>، قم بزيارة موقع MSDN التالي على الويب:
