Režim šifrování starší verze konfigurace v technologii ASP.NET

Souhrn

Aktualizace zabezpečení popsaná v bulletinu zabezpečení společnosti Microsoft MS10-070 změní výchozím mechanismem šifrování v technologii ASP.NET pro ověřování (podpisový) kromě šifrování. Tento článek popisuje možnosti konfigurace, které chcete vrátit ke starší chování pro šifrování v technologii ASP.NET.

Další informace o této aktualizaci zabezpečení naleznete na následujícím webu:

Další informace

Technologie ASP.NET umožňuje uživatelům volitelně šifrování nebo ověřování dat prostřednictvím konfigurace v oddílu MachineKey. Aktualizace zabezpečení, která je řešena bulletinem zabezpečení aktualizovat změny MS10-070 šifrování v technologii ASP.NET k provádění ověřování kromě šifrování i v případě, že je požadováno šifrování pouze výchozí chování.

Po instalaci aktualizace zabezpečení, která je popsána v bulletinu zabezpečení MS10-070, následující operace jsou prováděny při šifrování technologie ASP.NET:
  • Během šifrování dat podpisu HMAC je generován pro zašifrovaná data a je k němu připojen.
  • Při dešifrování dat ověření podpisu HMAC před data dešifrována.
V následujících klíčích v řízení (appSettings) nastavení aplikace ASP.NET chování také podepisování a šifrování.
KlíčNapišteVýchozí hodnotaVerze podporovaná on.NET
aspnet:UseLegacyEncryptionLogická hodnotaFalseMicrosoft rozhraní.NET Framework 2.0 Service Pack 1
Microsoft rozhraní.NET Framework 2.0 Service Pack 2
Microsoft.NET Framework 3.5
Microsoft.NET Framework 3.5 Service Pack 1
Microsoft rozhraní.NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryptionLogická hodnotaFalseMicrosoft rozhraní.NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFilesLogická hodnotaFalseMicrosoft.NET Framework 3.5 Service Pack 1
Microsoft rozhraní.NET Framework 4.0

Popis aspnet:UseLegacyEncryption appSetting

Toto nastavení aplikace určuje, zda šifrování bude dále provádět ověření pomocí HMAC klíče i v případě, že ověření část machineKey oddílu konfigurace technologie ASP.NET není nakonfigurován pro ověření podpisu HMAC.
aspnet:UseLegacyEncryptionPopis
False (výchozí)Toto nastavení konfiguruje technologie ASP.NET také provést ověření podpisu HMAC při ASP.NET je nakonfigurován pro použití šifrování. Tím dojde i v případě, že není nakonfigurováno ověřování v machineKey podepsat pomocí klávesy HMAC.
PRAVDAToto nastavení konfiguruje technologie ASP.NET není Chcete-li provést ověření podpisu HMAC, pokud je nakonfigurován pro použití šifrování a není HMAC podpisu prostřednictvím ověřování v machineKey.

Poznámka: Toto nastavení umožňuje klient se zlými úmysly dešifrovat, zfalšovat nebo jinak manipulovat s šifrovaná data.

Chcete-li nakonfigurovat toto nastavení, přidejte následující konfigurace v souboru web.config počítače nebo aplikace:
<configuration>...
<appSettings>
...
<add key="aspnet:UseLegacyEncryption" value="false" />
</appSettings>
</configuration>

Popis aspnet:UseLegacyMachineKeyEncryption appSetting

Toto nastavení aplikace určuje, zda šifrování prostřednictvím třídy System.Web.Security.MachineKey dále provede ověření pomocí HMAC klíče i v případě, že zadaný argument MachineKeyProtection neurčuje provést ověření.
aspnet:UseLegacyMachineKeyEncryptionPopis
False (výchozí)Toto nastavení konfiguruje technologie ASP.NET také provést ověření podpisu HMAC prostřednictvím třídy MachineKey při ASP.NET je nakonfigurován pro použití šifrování. Tím dojde i v případě, že zadaný argument MachineKeyProtection neurčuje provést ověření.
PRAVDAToto nastavení konfiguruje technologie ASP.NET není Chcete-li provést ověření podpisu HMAC prostřednictvím MachineKey třídy, pokud je nakonfigurován pro použití šifrování a není HMAC podpisu prostřednictvím zadaný argument MachineKeyProtection .

Poznámka: Toto nastavení umožňuje klient se zlými úmysly dešifrovat, zfalšovat nebo jinak manipulovat s šifrovaná data.

Chcete-li nakonfigurovat toto nastavení, přidejte následující konfigurace v souboru web.config počítače nebo aplikace:
<configuration>...
<appSettings>
...
<add key="aspnet:UseLegacyMachineKeyEncryption" value="false" />
</appSettings>
</configuration>

Popis aspnet:ScriptResourceAllowNonJsFiles appSetting

Toto nastavení aplikace určuje, zda obslužné rutiny ScriptResource.axd, technologie ASP.NET bude sloužit non-JavaScript soubory (soubory s příponou .js). ScriptResource.axd je obslužnou rutinou ASP.NET, který vrací zdrojové soubory jazyka JavaScript na komponenty AJAX webových stránkách technologie ASP.NET.
aspnet:ScriptResourceAllowNonJsFilesPopis
False (výchozí)Toto nastavení konfiguruje technologie ASP.NET sloužit pouze statické soubory s příponou JS (JavaScript) prostřednictvím rutiny ScriptResource.axd, popisovači.
PRAVDAToto nastavení konfiguruje technologie ASP.NET sloužit libovolný statický soubor, aby aplikace technologie ASP.NET má přístup k prostřednictvím rutiny ScriptResource.axd, popisovači.

Poznámka: Toto nastavení umožňuje všechny soubory v rámci aplikace technologie ASP.NET má být písemnost doručena prostřednictvím obslužné rutiny. Pokud tyto soubory obsahuje citlivé nebo důvěrné informace, pak toto nastavení může potenciálně k dochází k úniku citlivých informací klientovi.

Chcete-li nakonfigurovat toto nastavení, přidejte následující konfigurace v souboru web.config počítače nebo aplikace:
<configuration>...
<appSettings>
...
<add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" />
</appSettings>
</configuration>

Odkazy

Další informace o oddílu MachineKey naleznete na následujícím webu společnosti Microsoft:
Další informace o třídě System.Web.Security.MachineKey navštivte následující web společnosti Microsoft:
Další informace o použití nastavení aplikace (appSettings) získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
815786 způsob ukládání a načítání vlastních informací z konfiguračního souboru aplikace pomocí Visual C#
313405 způsob ukládání a načítání vlastních informací z konfiguračního souboru aplikace pomocí Visual Basic .NET nebo Visual Basic 2005




Další informace o konfiguraci technologie ASP.Net klepněte na následující číslo článku databáze Microsoft Knowledge Base:
307626 informace: Přehled konfigurace technologie ASP.NET
Vlastnosti

ID článku: 2425938 - Poslední kontrola: 23. 1. 2017 - Revize: 1

Váš názor