Sammenfatning

Den sikkerhedsopdatering, der beskrives i Microsofts sikkerhedsbulletin MS10-070, foretager ændringer i standardkrypteringsmekanismen i ASP.NET, så der både udføres validering (signering) og kryptering. Denne artikel indeholder en beskrivelse af mulighederne for at vende tilbage til den oprindelige funktionsmåde for kryptering i ASP.NET.Du kan finde flere oplysninger om denne sikkerhedsopdatering på følgende websted:

http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx

Yderligere Information

Med ASP.NET kan brugere vælge mellem at kryptere eller validere data via konfiguration under MachineKey. Den sikkerhedsopdatering, der behandles i sikkerhedsbulletin MS10-070, ændrer standardfunktionsmåden for kryptering i ASP.NET, så der både udføres validering og kryptering, selvom der kun anmodes om kryptering.Når du har installeret den sikkerhedsopdatering, der er beskrevet i sikkerhedsbulletin MS10070, udføres følgende operationer, når kryptering er angivet for ASP.NET:

  • Under kryptering af data genereres der en HMAC-signatur for de krypterede data, og den vedhæftes dataene.

  • Under kryptering af data, valideres HMAC-signaturen, før dataene dekrypteres.

Følgende nøgler i ASP.NET-programindstillingerne (appSettings) styrer funktionsmåden for signering og kryptering.

Nøgle

Type

Standardværdi

Understøttede on.NET-versioner

aspnet:UseLegacyEncryption

Boolesk

Falsk

Microsoft .NET Framework 2,0 Service Pack 1Microsoft .NET Framework 2,0 Service Pack 2Microsoft .NET Framework 3.5Microsoft .NET Framework 3,5 Service Pack 1Microsoft .NET Framework 4,0

aspnet:UseLegacyMachineKeyEncryption

Boolesk

Falsk

Microsoft .NET Framework 4,0

aspnet:ScriptResourceAllowNonJsFiles

Boolesk

Falsk

Microsoft .NET Framework 3,5 Service Pack 1Microsoft .NET Framework 4,0

Beskrivesle af aspnet:UseLegacyEncryption appSetting

Denne programindstilling angiver, om kryptering også udfører validering med en HMAC-nøgle, når valideringsafsnittet i machineKey-delen af ASP.NET-konfigurationen ikke konfigureres for HMAC-signaturvalidering.

aspnet:UseLegacyEncryption

Beskrivelse

Falsk (standard)

Denne indstilling konfigurerer ASP.NET, så der også udføres HMAC-signaturvalidering, når ASP.NET konfigureres til at bruge kryptering. Det sker, selvom validering i machineKey ikke er konfigureret til signering vha. en HMAC-nøgle.

True

Denne indstilling konfigurerer ASP.NET til ikke at udføre HMAC-signaturvalidering, når det konfigureres til at bruge kryptering og ikke HMAC-signering via validering i machineKey.Bemærk! Denne indstilling kan tillade, at ondsindede klienter dekrypterer eller på anden måde ændrer krypterede data.

Hvis du vil konfigurere denne indstilling, skal du tilføje følgende konfiguration i computerens eller programmets web.config-fil:

<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

Beskrivelse af aspnet:UseLegacyMachineKeyEncryption appSetting

Denne programindstilling angiver, om kryptering via klassen System.Web.Security.MachineKey også udfører validering med en HMAC-nøgle, når det angivne MachineKeyProtection-argument ikke angiver, at validering skal udføres.

aspnet:UseLegacyMachineKeyEncryption

Beskrivelse

Falsk (standard)

Denne indstilling konfigurerer ASP.NET, så der også udføres HMAC-signaturvalidering via klassen MachineKey , når ASP.NET konfigureres til at bruge kryptering. Det sker, selvom det angivne MachineKeyProtection-argument ikke angiver, at der skal udføres validering.

True

Denne indstilling konfigurerer ASP.NET til ikke at udføre HMAC-signaturvalidering via klassen MachineKey, når det er konfigureret til at bruge kryptering og ikke HMAC-signering via det angivne MachineKeyProtection-argument.Bemærk! Denne indstilling kan tillade, at ondsindede klienter dekrypterer eller på anden måde ændrer krypterede data.

Hvis du vil konfigurere denne indstilling, skal du tilføje følgende konfiguration i computerens eller programmets web.config-fil:

<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

Beskrivelse af aspnet:ScriptResourceAllowNonJsFiles appSetting

Denne programindstilling angiver, om ScriptResource.axd-handleren i ASP.NET behandler ikke-JavaScript-filer (.js). ScriptResource.axd er en ASP.NET-handler, der returnerer JavaScript-kildefiler til AJAX-komponenter på en ASP.NET-webside.

aspnet:ScriptResourceAllowNonJsFiles

Beskrivelse

Falsk (standard)

Denne indstilling konfigurerer ASP.NET til kun at behandle statiske filer med filtypenavnet .js (JavaScript) via ScriptResource.axd-handleren.

Sand

Denne indstilling konfigurerer ASP.NET til at behandle alle statiske filer, som ASP.NET-programmet har adgang til via ScriptResource.axd-handleren.Bemærk! Denne indstilling tillader, at alle filer i ASP.NET-programmet behandles af handleren. Hvis nogle af filerne indeholder følsomme eller fortrolige data, kan denne indstilling forårsage, at følsomme data offentliggøres til en klient.

Hvis du vil konfigurere denne indstilling, skal du tilføje følgende konfiguration i computerens eller programmets web.config-fil:

<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>

Referencer

Du kan finde flere oplysninger om MachineKey-afsnittet på følgende Microsoft-websted:

http://msdn.microsoft.com/da-dk/library/w8h3skw9.aspx Du kan finde flere oplysninger om System.Web.Security.MachineKey-klassen på følgende Microsoft-websted:

http://msdn.microsoft.com/da-dk/library/system.web.security.machinekey.aspxHvis du vil vide mere om, hvordan du bruger programindstillinger (appSettings), skal du klikke på følgende artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:

815786 Sådan gemmes og hentes brugerdefinerede oplysninger fra et programkonfigurationsfil vha. Visual C# () 313405 Sådan gemmes og hentes brugerdefinerede oplysninger fra et programkonfigurationsfil vha. Visual Basic .NET eller Visual Basic 2005 ()Du kan finde flere oplysninger om ASP.NET-konfiguration ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

307626 INFO: ASP.NET-konfigurationsoversigt ()

Facebook LinkedIn E-mail

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Find Community

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed

Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.

Spørg Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders