Обобщена информация
Актуализация на защитата, описана в Microsoft бюлетини за сигурността MS10-070 внася промени механизма за шифроване по подразбиране в ASP.NET за извършване на проверка (подпис) Освен шифроване. В тази статия настройки се върнете към стари поведение за шифроване в ASP.NET.For повече информация относно тази актуализация, посетете следния уеб сайт:
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
Повече информация
ASP.NET позволява на потребителите да евентуално шифроване или проверка на данни чрез конфигурация в раздела MachineKey. Актуализация на защитата, които се отнася защита актуализира MS10-070 промени подразбиращото се поведение на шифроване на ASP.NET се извършва проверка в допълнение към криптиране дори ако само шифроване. След като инсталирате актуализация на защитата, описана в бюлетина за сигурността MS10-070, следните операции се извършват при шифроване е настроен за ASP.NET:
-
По време на данни HMAC подпис се генерира шифровани данни и се добавят към него.
-
По време на дешифриране на данни подпис HMAC проверява преди данните се дешифрира.
Следните клавиши ASP.NET приложението настройки (appSettings) контролира поведението на подписване в допълнение към шифроване.
Ключ |
Тип |
Стойността по подразбиране |
Поддържани on.NET версии |
---|---|---|---|
aspnet:UseLegacyEncryption |
Булев |
Фалшиви |
Microsoft .NET Framework 2.0 сервизен пакет 1Microsoft .NET Framework 2.0 сервизен пакет 2Microsoft .NET рамка 3.5Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
aspnet:UseLegacyMachineKeyEncryption |
Булев |
Фалшиви |
Microsoft .NET Framework 4.0 |
aspnet:ScriptResourceAllowNonJsFiles |
Булев |
Фалшиви |
Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
Описание на aspnet:UseLegacyEncryption appSetting
Приложение тази настройка определя дали шифроване освен ще извърши проверка с HMAC ключ, дори когато разделът за проверка в раздела machineKey на ASP.NET конфигурацията не е конфигуриран за проверка на подписа на HMAC.
aspnet:UseLegacyEncryption |
Описание |
---|---|
FALSE (по подразбиране) |
Тази настройка се конфигурира ASP.NET да изпълнява освен HMAC подпис проверка, когато ASP.NET е конфигуриран да използва шифроване. Това ще се случи, дори ако проверка в machineKey не е конфигуриран да влезете с HMAC ключ. |
Налице |
Тази настройка се конфигурира ASP.NET не се извършва проверка на подписа на HMAC, когато е конфигуриран да използва шифроване и не HMAC влизане чрез проверка в machineKey. Забележка: Тази настройка може да позволи на злонамерени клиент да дешифрира, видео или по друг начин променят шифрованите данни. |
За да конфигурирате тази настройка, добавете следната конфигурация във файла web.config компютър или приложение:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>
Описание на aspnet:UseLegacyMachineKeyEncryption appSetting
Приложение тази настройка определя дали шифроване чрез System.Web.Security.MachineKey класа освен ще извърши проверка с HMAC ключ, дори когато предоставената аргумент MachineKeyProtection посочва извършва проверка.
aspnet:UseLegacyMachineKeyEncryption |
Описание |
---|---|
FALSE (по подразбиране) |
Тази настройка се конфигурира ASP.NET да изпълнява освен HMAC подпис проверка чрез MachineKey класа, когато ASP.NET е конфигуриран да използва шифроване. Това ще се случи, дори ако предоставените MachineKeyProtection аргумент не посочва извършва проверка. |
Налице |
Тази настройка се конфигурира ASP.NET не се изпълнява HMAC подпис проверка чрез MachineKey класа, когато е конфигуриран да използва шифроване и не HMAC подписване чрез предоставените MachineKeyProtection аргумент. Забележка: Тази настройка може да позволи на злонамерени клиент да дешифрира, видео или по друг начин променят шифрованите данни. |
За да конфигурирате тази настройка, добавете следната конфигурация във файла web.config компютър или приложение:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>
Описание на aspnet:ScriptResourceAllowNonJsFiles appSetting
Приложение тази настройка определя дали ScriptResource.axd манипулатор на ASP.NET ще служи без JavaScript файлове (.js разширение). ScriptResource.axd е манипулатор ASP.NET AJAX компоненти в ASP.Нето уеб страница се връща JavaScript инсталационни файлове.
aspnet:ScriptResourceAllowNonJsFiles |
Описание |
---|---|
FALSE (по подразбиране) |
Тази настройка се конфигурира ASP.Нето да служи само статични файлове с разширение .js (JavaScript) чрез ScriptResource.axd манипулатор. |
Налице |
Тази настройка се конфигурира ASP.NET да служи статичен файл, ASP.NET приложението има достъп до чрез ScriptResource.axd манипулатор. Забележка: Тази настройка позволява на всеки файл в ASP.NET приложението да се предлагат чрез манипулатор. Ако тези файлове съдържат конфиденциални данни, тогава тази настройка може потенциално за изтичане на поверителна информация на клиента. |
За да конфигурирате тази настройка, добавете следната конфигурация във файла web.config компютър или приложение:
<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>
Препратки
За повече информация относно MachineKey раздел посетете следния уеб сайт на Microsoft:
http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxЗа повече информация относно System.Web.Security.MachineKey клас посетете следния уеб сайт на Microsoft:
http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxЗа повече информация как да използвате настройките на приложението (appSettings) щракнете върху следните номера на статии в базата знания на Microsoft:
815786 как да се съхранява и извлича потребителска информация от конфигурационен файл на приложение чрез Visual C# 313405 съхраняване и извличане на потребителска информация от конфигурационен файл на приложение чрез Visual Basic .NET или Visual Basic 2005 г.За повече информация относно конфигурирането на ASP.Net щракнете върху следния номер на статия в базата знания на Microsoft:
307626 информация: ASP.NET конфигурация преглед