Kokkuvõte
See värskendus on kirjeldatud Microsofti turvabülletään MS10-070 muudab ASP.net-i valideerimise (allkirjastamise) teha mehhanism vaikimisi krüptimine krüptimine lisaks. Selles artiklis kirjeldatakse konfigureerimisvõimalusest need pärand ASP.NET.For krüptimise kohta lisateabe saamiseks selle turvavärskenduse kohta, külastage järgmist veebisaiti:
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
Lisateave
ASP.net-i abil saavad kasutajad soovi korral krüptida või MachineKey jaotises konfiguratsiooni kaudu andmete valideerimine. Turvavärskendust, mis on suunatud turvalisuse värskenduse MS10-070 muudatused ASP.net-i valideerimise Lisaks krüptimine teha isegi siis, kui taotletakse ainult krüptimine krüptimine vaikekäitumise. Turvabülletään MS10-070 kirjeldatud turvavärskenduse installimist järgmised toimingud tehakse sõlmimisel krüptimine ASP.net-i jaoks:
-
Andmete krüptimine ajal HMAC-i allkirja luuakse krüptitud andmed ning on lisatud.
-
Andmete dekrüptimine HMAC-i allkiri on kontrollitud enne andmeid dekrüptida.
Järgmised võtmed ASP.net-i rakenduse sätted (appSettings) kontrollida käitumist allkirjastamise peale krüptimine.
Võti |
Tüüp |
Vaikeväärtus |
On.NET toetatud versioonid |
---|---|---|---|
aspnet:UseLegacyEncryption |
Boolean |
Vale |
Microsoft .NET Framework 2.0 Service Pack 1Microsoft .NET Framework 2.0 Service Pack 2Microsoft .NET raamistiku 3.5Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4,0 |
aspnet:UseLegacyMachineKeyEncryption |
Boolean |
Vale |
Microsoft .NET Framework 4,0 |
aspnet:ScriptResourceAllowNonJsFiles |
Boolean |
Vale |
Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4,0 |
Aspnet:UseLegacyEncryption appSetting kirjeldus
See rakendus säte määrab, kas krüptimine peale liiga valideerimise HMAC-i võti isegi siis, kui valideerimise osa jaotises machineKey ASP.net-i konfiguratsiooni on konfigureeritud kasutama HMAC-i allkirja valideerimine.
aspnet:UseLegacyEncryption |
Kirjeldus |
---|---|
Väär (vaikimisi) |
Selle sätte valimisel konfigureeritakse ASP.net-i HMAC-i allkirja valideerimise peale teha kui ASP.net-i on konfigureeritud kasutama krüptimine. See juhtub isegi siis, kui valideerimine machineKey logima HMAC-i võti pole konfigureeritud. |
Täidetud |
Selle sätte valimisel konfigureeritakse ASP.net-i HMAC-i allkirja valideerimine pole teha, kui see on konfigureeritud kasutama krüptimist ja mitte HMAC-i allkirjastamise valideerimise machineKey kaudu. Märkus. See säte võib lubada pahatahtlik kliendi dekrüptida, luua või muidu manipuleerida krüptitud andmed. |
Konfigureeri, lisage oma arvuti või rakenduse faili web.config järgmine konfiguratsioon.
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>
Aspnet:UseLegacyMachineKeyEncryption appSetting kirjeldus
See rakendus säte määrab, kas krüptimine läbi System.Web.Security.MachineKey klassi peale liiga valideerimise HMAC-i võti ka siis, kui etteantud MachineKeyProtection argument ei määra, mis valideerimise läbi.
aspnet:UseLegacyMachineKeyEncryption |
Kirjeldus |
---|---|
Väär (vaikimisi) |
Selle sätte valimisel konfigureeritakse ASP.net-i HMAC-i allkirja valideerimise läbi MachineKey klassi peale teha kui ASP.net-i on konfigureeritud kasutama krüptimine. See juhtub isegi siis, kui etteantud MachineKeyProtection argument ei määra valideerimise läbi. |
Täidetud |
Selle sätte valimisel konfigureeritakse ASP.net-i täitmata HMAC-i allkirja valideerimise läbi MachineKey klassi, kui see on konfigureeritud kasutama krüptimist ja mitte HMAC-i kaudu esitatud MachineKeyProtection argument allkirjastamine. Märkus. See säte võib lubada pahatahtlik kliendi dekrüptida, luua või muidu manipuleerida krüptitud andmed. |
Konfigureeri, lisage oma arvuti või rakenduse faili web.config järgmine konfiguratsioon.
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>
Aspnet:ScriptResourceAllowNonJsFiles appSetting kirjeldus
See rakendus säte määrab, kas ASP.net-i ScriptResource.axd ohjuri toimib-JavaScript failid (js laiend). ScriptResource.axd on ASP.net-i ohjur, mis tagastab lähtefailide JavaScript AJAX komponendid ASP.NET veebilehte.
aspnet:ScriptResourceAllowNonJsFiles |
Kirjeldus |
---|---|
Väär (vaikimisi) |
Selle sätte valimisel konfigureeritakse ASP.net-i teenima ainult staatilisi faile laiendiga js (JavaScript) kaudu ScriptResource.axd ohjuri. |
Täidetud |
Selle sätte valimisel konfigureeritakse ASP.net-i staatiline fail teenima ASP.net-i rakendused on juurdepääs läbi ScriptResource.axd ohjuri. Märkus. See säte lubab läbi ohjuri kätte ASP.net-i rakenduses failid. Kui selliste failide sisaldab tundlikku või konfidentsiaalset teavet, siis see säte võib leke tundliku loomuga teavet kliendile. |
Konfigureeri, lisage oma arvuti või rakenduse faili web.config järgmine konfiguratsioon.
<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>
Viited
MachineKey jaotis kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:
http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxSystem.Web.Security.MachineKey klassi kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:
http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxRakenduse sätted (appSettings) kasutamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artiklite kuvamiseks järgmisi artiklinumbreid:
815786 kuidas talletada ja laadida kohandatud teavet rakenduse konfiguratsioonifail talletada ja laadida kohandatud teavet rakenduse konfiguratsioonifail Visual Basicu või Visual Basic .net-i abil Visual C# 313405 abil 2005ASP.net-i konfigureerimise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
307626 INFO: ASP.net-i konfiguratsiooni ülevaade