Zusammenfassung

Das Sicherheitsupdate, das im Microsoft Security Bulletin, MS10-070 Verschlüsselungsmechanismus Standard in ASP.NET beschrieben wird die Validierung (Signatur) neben Verschlüsselung ändert. Dieser Artikel beschreibt Konfigurationsoptionen, Wiederherstellen Legacyverhalten für die Verschlüsselung in ASP.NET.For Weitere Informationen zu diesem Sicherheitsupdate finden Sie auf der folgenden Website:

http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx

Weitere Informationen

ASP.NET können Benutzer wahlweise verschlüsseln oder Überprüfen von Daten über die Konfiguration im Abschnitt MachineKey. Das Sicherheitsupdate Sicherheit richtet aktualisieren MS10-070 das Standardverhalten der Verschlüsselung in ASP.NET Validierung zur Verschlüsselung durchführen, auch wenn nur Verschlüsselung erforderlich ist. Nach der Installation des beschriebene Sicherheitsupdates im Sicherheitsbulletin MS10-070 werden folgende Vorgänge ausgeführt, wenn Verschlüsselung für ASP.NET festgelegt ist:

  • Bei der Verschlüsselung der Daten eine HMAC-Signatur für die verschlüsselten Daten generiert und angefügt.

  • Während der Entschlüsselung von Daten ist HMAC-Signatur überprüft, bevor die Daten entschlüsselt.

Die folgenden Tasten in ASP.NET Application Settings (AppSettings) Steuern des Verhaltens der Signatur außerdem die Verschlüsselung.

Schlüssel

Typ

Standardwert

On.NET! unterstützte Versionen

aspnet:UseLegacyEncryption

Boolescher Wert

Falsch

Microsoft.NET Framework 2.0 Service Pack 1Microsoft.NET Framework 2.0 Service Pack 2Microsoft.NET Framework 3.5Microsoft.NET Framework 3.5 Service Pack 1Microsoft.NET Framework 4.0

aspnet:UseLegacyMachineKeyEncryption

Boolescher Wert

Falsch

Microsoft.NET Framework 4.0

aspnet:ScriptResourceAllowNonJsFiles

Boolescher Wert

Falsch

Microsoft.NET Framework 3.5 Service Pack 1Microsoft.NET Framework 4.0

Beschreibung des Aspnet:UseLegacyEncryption-appSetting

Diese anwendungseinstellung gibt an, ob Verschlüsselung außerdem Validierung werden mit einem HMAC-Schlüssel selbst wenn Abschnitt Validierung im Abschnitt MachineKey ASP.NET Konfiguration für die Überprüfung der Signatur HMAC nicht konfiguriert ist.

aspnet:UseLegacyEncryption

Beschreibung

False (Standard)

Mit dieser Einstellung konfigurieren ASP.NET zum außerdem HMAC Signatur validieren ASP.NET Verschlüsselung konfiguriert ist. Dies geschieht auch wenn Validierung MachineKey nicht mithilfe der HMAC-Schlüssel signieren konfiguriert ist.

True

Mit dieser Einstellung konfigurieren ASP.NET, HMAC Signatur Validierung auszuführen, wenn sie Verschlüsselung konfiguriert ist und nicht durch Validierung MachineKey Signieren HMAC. Hinweis Diese Einstellung können einen bösartigen Client entschlüsselt, fälschen oder anderweitig verschlüsselte Daten manipulieren.

Fügen Sie zum Konfigurieren dieser Einstellung die folgende Konfiguration in der Datei web.config des Computer oder eine Anwendung:

<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>

Beschreibung der Aspnet:UseLegacyMachineKeyEncryption appSetting

Diese anwendungseinstellung gibt an, ob Verschlüsselung über die System.Web.Security.MachineKey -Klasse außerdem mit einem HMAC-Schlüssel Validierung wird selbst wenn bereitgestellte MachineKeyProtection -Argument, das nicht angeben Validierung ausgeführt werden.

aspnet:UseLegacyMachineKeyEncryption

Beschreibung

False (Standard)

Mit dieser Einstellung konfigurieren ASP.NET um außerdem Validierung HMAC Signatur durch die MachineKey -Klasse bei ASP.NET Verschlüsselung konfiguriert ist. Dies geschieht auch wenn bereitgestellte MachineKeyProtection -Argument nicht angegeben wird, Validierung ausgeführt werden.

True

Mit dieser Einstellung konfigurieren ASP.NET nicht zum Validieren HMAC Signatur durch die MachineKey -Klasse bei Konfiguration Verschlüsselung und Signatur durch die bereitgestellten MachineKeyProtection -Argument nicht HMAC. Hinweis Diese Einstellung können einen bösartigen Client entschlüsselt, fälschen oder anderweitig verschlüsselte Daten manipulieren.

Fügen Sie zum Konfigurieren dieser Einstellung die folgende Konfiguration in der Datei web.config des Computer oder eine Anwendung:

<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>

Beschreibung der Aspnet:ScriptResourceAllowNonJsFiles appSetting

Diese anwendungseinstellung gibt an, ob der ScriptResource.axd-Handler in ASP.NET nicht JavaScript-Dateien (Erweiterung JS) dienen. ScriptResource.axd ist ein ASP.NET Handler, der JavaScript-Quelldateien AJAX-Komponenten in einer ASP.NET Webseite zurückgibt.

aspnet:ScriptResourceAllowNonJsFiles

Beschreibung

False (Standard)

Mit dieser Einstellung konfigurieren ASP.NET nur statische Dateien dienen, die die Erweiterung .js (JavaScript) über der ScriptResource.axd-Handler.

True

Mit dieser Einstellung konfigurieren ASP.NET statische Dateien dienen, die Anwendung ASP.NET zugreifen kann durch ScriptResource.axd-Handler. Hinweis Mit dieser Einstellung können alle Dateien in der Anwendung ASP.NET über den Handler bedient werden. Wenn solche Dateien oder vertrauliche Daten enthält, kann diese Einstellung möglicherweise um vertrauliche Informationen an einen Client.

Fügen Sie zum Konfigurieren dieser Einstellung die folgende Konfiguration in der Datei web.config des Computer oder eine Anwendung:

<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>

Informationsquellen

Weitere Informationen zum Abschnitt MachineKey finden Sie auf folgender Microsoft-Website:

http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxWeitere Informationen über die System.Web.Security.MachineKey -Klasse finden Sie auf folgender Microsoft-Website:

http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxWeitere Informationen zur Verwendung von Einstellungen (AppSettings) klicken Sie auf die folgenden Artikelnummern klicken, um die Artikel der Microsoft Knowledge Base:

815786 zum Speichern und Abrufen von benutzerdefinierten Informationen aus einer Anwendungskonfigurationsdatei mit Visual C# 313405 zum Speichern und Abrufen von benutzerdefinierten Informationen aus einer Anwendungskonfigurationsdatei mit Visual Basic .NET oder Visual Basic 2005Weitere Informationen zur ASP.NET-Konfiguration klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

307626 INFO: Übersicht über ASP.NET

Facebook LinkedIn E-Mail

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider