Vanhan salaustilan määrittäminen ASP.NETissä

Yhteenveto

Microsoftin tietoturvatiedotteessa MS10-070 kuvattu tietoturvapäivitys tekee muutoksia ASP.NETin oletussalausmekanismiin, jotta salaamisen lisäksi tehdään vahvistus (allekirjoitus) tehdään. Tässä artikkelissa kuvataan määritykset, jotka tekemällä voidaan palata ASP.NETin salauksen vanhaan toimintaan.

Lisätietoja tästä tietoturvapäivityksestä on seuraavassa WWW-sivustossa:

Enemmän tietoa

ASP.NET sallii käyttäjien valinnaisesta salata tai vahvistaa tiedot MachineKey-osan määrityksen avulla. Tietoturvapäivityksessä MS10-070 käsitelty tietoturvapäivitys muuttaa ASP.NETin salauksen oletustoimintaa niin, että vahvistus tehdään salauksen lisäksi, vaikka vain salausta pyydettäisiin.

Kun tietoturvatiedotteessa MS10-070 kuvattu päivitys on asennettu, seuraavat toiminnot tehdään, kun salaus on määritetty ASP.NETille:
  • Tietojen salaamisen aikana HMAC-allekirjoitus luodaan salatuille tiedoille ja liitetään niihin.
  • Tietojen salauksen purkamisen aikana HMAC-allekirjoitus vahvistetaan, ennen kuin tietojen salaus puretaan.
Seuraavat ASP.NET-sovellusasetusten (appSetting-asetukset) avaimet ohjaavat salaamisen lisäksi tehtävän allekirjoittamisen toimintaa.
AvainTyyppiOletusarvo.NET-versiot, joissa tätä tuetaan
aspnet:UseLegacyEncryptionTotuusarvoFalseMicrosoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryptionTotuusarvoFalseMicrosoft .NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFilesTotuusarvoFalseMicrosoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

Sovellusasetuksen (appSetting) aspnet:UseLegacyEncryption kuvaus

Tämä sovellusasetus määrittää, tekeekö salaaminen lisäksi vahvistuksen HMAC-avaimella, vaikka ASP.NET-määrityksen machineKey-osan vahvistusosa ei olisi määritetty HMAC-allekirjoituksen vahvistusta varten.
aspnet:UseLegacyEncryptionKuvaus
False (oletus)Tämä asetus määrittää ASP.NETin tekemään lisäksi HMAC-allekirjoituksen vahvistuksen, kun ASP.NET on määritetty käyttämään salausta. Tämä tehdään, vaikka vahvistusta machineKey-osassa ei olisi määritetty allekirjoittamaan HMAC-avaimella.
TrueTämä asetus määrittää ASP.NETin niin, ettei se tee HMAC-allekirjoituksen vahvistusta, kun se on määritetty käyttämään salausta eikä HMAC-allekirjoitusta vahvistuksen kautta machineKey-osassa.

Huomautus Tämä asetus saattaa sallia haitalliseksi suunnitellun asiakkaan purkaa salattujen tietojen salauksen, väärentää ne tai muulla tavalla peukaloida niitä.

Jos haluat määrittää tämän asetuksen, lisää seuraava määritys tietokoneen tai sovelluksen Web.config-tiedostoon:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration> 

Sovellusasetuksen (appSetting) aspnet:UseLegacyMachineKeyEncryption kuvaus

Tämä sovellusasetus määrittää, tekeekö System.Web.Security.MachineKey-luokan kautta tehtävä salaaminen lisäksi vahvistamisen HMAC-avaimella, vaikka annettu MachineKeyProtection-argumentti ei määrittäisi, että vahvistaminen tulee tehdä.
aspnet:UseLegacyMachineKeyEncryptionKuvaus
False (oletus)Tämä asetus määrittää ASP.NETin tekemään lisäksi HMAC-allekirjoituksen vahvistuksen MachineKey-luokan kautta, kun ASP.NET on määritetty käyttämään salausta. Tämä tehdään, vaikka annettu MachineKeyProtection-argumentti ei määrittäisi, että vahvistaminen tulee tehdä.
TrueTämä asetus määrittää ASP.NETin niin, ettei se tee HMAC-allekirjoituksen vahvistusta MachineKey-luokan kautta, kun se on määritetty käyttämään salausta eikä HMAC-allekirjoitusta annetun MachineKeyProtection-argumentin kautta.

Huomautus Tämä asetus saattaa sallia haitalliseksi suunnitellun asiakkaan purkaa salattujen tietojen salauksen, väärentää ne tai muulla tavalla peukaloida niitä.

Jos haluat määrittää tämän asetuksen, lisää seuraava määritys tietokoneen tai sovelluksen Web.config-tiedostoon:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration> 

Sovellusasetuksen (appSetting) aspnet:ScriptResourceAllowNonJsFiles kuvaus

Tämä sovellusasetus määrittää, antaako ASP.NETin ScriptResource.axd-käsittely muita kuin JavaScript-tiedostoja (.js-tiedostotunniste). ScriptResource.axd on ASP.NET-käsittely, joka palauttaa JavaScript-lähdetiedostot AJAX-osille ASP.NET-verkkosivulla.
aspnet:ScriptResourceAllowNonJsFilesKuvaus
False (oletus)Tämä asetus määrittää ASP.NETin niin, että se antaa ScriptResource.axd-käsittelyn kautta ainoastaan staattisia tiedostoja, joilla on .js-tiedostotunniste (JavaScript).
TrueTämä asetus määrittää ASP.NETin niin, että se antaa ScriptResource.axd-käsittelyn kautta minkä tahansa staattisen tiedoston, jota ASP.NET-sovellus pystyy käyttämään.

Huomautus Tämä asetus mahdollistaa minkä tahansa ASP.NET-sovelluksessa olevan tiedoston antamisen käsittelyn kautta. Jos kyseiset tiedostot sisältävät arkaluontoisia tai luottamuksellisia tietoja, tämä asetus saattaa antaa asiakkaan käyttää arkaluontoisia tietoja. 

Jos haluat määrittää tämän asetuksen, lisää seuraava määritys tietokoneen tai sovelluksen Web.config-tiedostoon:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration> 

Lisätietoja

Lisätietoja MachineKey-osasta on seuraavassa Microsoftin WWW-sivustossa: Lisätietoja System.Web.Security.MachineKey-luokasta on seuraavassa Microsoftin WWW-sivustossa: Lisätietoja sovellusasetusten (appSetting-asetusten) käyttämisestä saat napsauttamalla seuraavia artikkelien numeroita, jolloin pääset lukemaan artikkelit Microsoft Knowledge Base -tietokannassa:
815786 Mukautettujen tietojen tallentaminen ja noutaminen sovelluksen määritystiedostosta Visual C#:n avulla
313405 Mukautettujen tietojen tallentaminen ja noutaminen sovelluksen määritystiedostosta Visual Basic .NETin tai Visual Basic 2005:n avulla
Lisätietoja ASP.NET-määrityksestä saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
307626 TIETOJA: ASP.NET-määrityksen yleiskatsaus
Ominaisuudet

Artikkelin tunnus: 2425938 – Viimeisin tarkistus: 25.10.2010 – Versio: 1

Palaute