Konfigurieren von älteren Verschlüsselungsmodus in ASP.NET

Zusammenfassung

Das Sicherheitsupdate, das im Microsoft Security Bulletin, MS10-070 Verschlüsselungsmechanismus Standard in ASP.NET beschrieben wird die Validierung (Signatur) neben Verschlüsselung ändert. Dieser Artikel beschreibt Konfigurationsoptionen für ältere Verhalten für die Verschlüsselung in ASP.NET.

Weitere Informationen zu diesem Sicherheitsupdate finden Sie auf der folgenden Website:

Weitere Informationen

ASP.NET können Benutzer wahlweise verschlüsseln oder Überprüfen von Daten über die Konfiguration im Abschnitt MachineKey. Das Sicherheitsupdate Sicherheit richtet aktualisieren MS10-070 das Standardverhalten der Verschlüsselung in ASP.NET Validierung zur Verschlüsselung durchführen, auch wenn nur Verschlüsselung erforderlich ist.

Nach der Installation des beschriebene Sicherheitsupdates im Sicherheitsbulletin MS10-070 werden folgende Vorgänge ausgeführt, wenn Verschlüsselung für ASP.NET festgelegt ist:
  • Bei der Verschlüsselung der Daten eine HMAC-Signatur für die verschlüsselten Daten generiert und angefügt.
  • Während der Entschlüsselung von Daten ist HMAC-Signatur überprüft, bevor die Daten entschlüsselt.
Die folgenden Tasten in ASP.NET Application Settings (AppSettings) Steuern des Verhaltens der Signatur außerdem die Verschlüsselung.
SchlüsselTypStandardwertOn.NET! unterstützte Versionen
aspnet:UseLegacyEncryptionBoolescher WertFalschMicrosoft.NET Framework 2.0 Servicepack 1
Microsoft.NET Framework 2.0 Servicepack 2
Microsoft.NET Framework 3.5
Microsoft.NET Framework 3.5 Servicepack 1
Microsoft.NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryptionBoolescher WertFalschMicrosoft.NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFilesBoolescher WertFalschMicrosoft.NET Framework 3.5 Servicepack 1
Microsoft.NET Framework 4.0

Beschreibung des Aspnet:UseLegacyEncryption-appSetting

Diese anwendungseinstellung gibt an, ob Verschlüsselung außerdem Validierung werden mit einem HMAC-Schlüssel selbst wenn Abschnitt Validierung im Abschnitt MachineKey ASP.NET Konfiguration für die Überprüfung der Signatur HMAC nicht konfiguriert ist.
aspnet:UseLegacyEncryptionBeschreibung
False (Standard)Mit dieser Einstellung konfigurieren ASP.NET zum außerdem HMAC Signatur validieren ASP.NET Verschlüsselung konfiguriert ist. Dies geschieht auch wenn Validierung MachineKey nicht mithilfe der HMAC-Schlüssel signieren konfiguriert ist.
TrueMit dieser Einstellung konfigurieren ASP.NET, HMAC Signatur Validierung auszuführen, wenn sie Verschlüsselung konfiguriert ist und nicht durch Validierung MachineKey Signieren HMAC.

Hinweis Diese Einstellung können einen bösartigen Client entschlüsselt, fälschen oder anderweitig verschlüsselte Daten manipulieren.

Fügen Sie zum Konfigurieren dieser Einstellung die folgende Konfiguration in der Datei web.config des Computer oder eine Anwendung:
<configuration>...
<appSettings>
...
<add key="aspnet:UseLegacyEncryption" value="false" />
</appSettings>
</configuration>

Beschreibung der Aspnet:UseLegacyMachineKeyEncryption appSetting

Diese anwendungseinstellung gibt an, ob Verschlüsselung über die System.Web.Security.MachineKey -Klasse außerdem Validierung werden mit einem HMAC-Schlüssel selbst wenn bereitgestellte MachineKeyProtection -Argument nicht angegeben wird, Validierung ausgeführt werden.
aspnet:UseLegacyMachineKeyEncryptionBeschreibung
False (Standard)Mit dieser Einstellung konfigurieren ASP.NET um außerdem Validierung HMAC Signatur durch die MachineKey -Klasse bei ASP.NET Verschlüsselung konfiguriert ist. Dies geschieht auch wenn bereitgestellte MachineKeyProtection -Argument nicht angegeben wird, Validierung ausgeführt werden.
TrueMit dieser Einstellung konfigurieren ASP.NET nicht zum Validieren HMAC Signatur durch die MachineKey -Klasse bei Konfiguration Verschlüsselung und Signatur durch die bereitgestellten MachineKeyProtection -Argument nicht HMAC.

Hinweis Diese Einstellung können einen bösartigen Client entschlüsselt, fälschen oder anderweitig verschlüsselte Daten manipulieren.

Fügen Sie zum Konfigurieren dieser Einstellung die folgende Konfiguration in der Datei web.config des Computer oder eine Anwendung:
<configuration>...
<appSettings>
...
<add key="aspnet:UseLegacyMachineKeyEncryption" value="false" />
</appSettings>
</configuration>

Beschreibung der Aspnet:ScriptResourceAllowNonJsFiles appSetting

Diese anwendungseinstellung gibt an, ob der ScriptResource.axd-Handler in ASP.NET nicht JavaScript-Dateien (Erweiterung JS) dienen. ScriptResource.axd ist ein ASP.NET Handler, der JavaScript-Quelldateien AJAX-Komponenten in einer ASP.NET Webseite zurückgibt.
aspnet:ScriptResourceAllowNonJsFilesBeschreibung
False (Standard)Mit dieser Einstellung konfigurieren ASP.NET nur statische Dateien dienen, die die Erweiterung .js (JavaScript) über der ScriptResource.axd-Handler.
TrueMit dieser Einstellung konfigurieren ASP.NET statische Dateien dienen, die Anwendung ASP.NET zugreifen kann durch ScriptResource.axd-Handler.

Hinweis Mit dieser Einstellung können alle Dateien in der Anwendung ASP.NET über den Handler bedient werden. Wenn solche Dateien oder vertrauliche Daten enthält, kann diese Einstellung möglicherweise um vertrauliche Informationen an einen Client.

Fügen Sie zum Konfigurieren dieser Einstellung die folgende Konfiguration in der Datei web.config des Computer oder eine Anwendung:
<configuration>...
<appSettings>
...
<add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" />
</appSettings>
</configuration>

Referenzen

Weitere Informationen zum Abschnitt MachineKey finden Sie auf folgender Microsoft-Website:
Weitere Informationen über die System.Web.Security.MachineKey -Klasse finden Sie auf folgender Microsoft-Website:
Weitere Informationen zur Verwendung von Einstellungen (AppSettings) klicken Sie auf die folgenden Artikelnummern klicken, um die Artikel der Microsoft Knowledge Base:
815786 zum Speichern und Abrufen von benutzerdefinierten Informationen aus einer Anwendungskonfigurationsdatei mit Visual C#
313405 zum Speichern und Abrufen von benutzerdefinierten Informationen aus einer Anwendungskonfigurationsdatei mit Visual Basic .NET oder Visual Basic 2005




Weitere Informationen zur ASP.NET-Konfiguration klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
307626 INFO: Übersicht über ASP.NET
Eigenschaften

Artikelnummer: 2425938 – Letzte Überarbeitung: 23.01.2017 – Revision: 1

Feedback