Résumé

La mise à jour de sécurité décrite dans le bulletin de sécurité Microsoft que MS10-070 modifie le mécanisme de cryptage par défaut dans ASP.NET pour effectuer la validation (signature) en plus du cryptage. Cet article décrit les options de configuration pour rétablir le comportement hérité pour le cryptage de ASP.NET.For plus d’informations sur cette mise à jour de sécurité, visitez le site Web suivant :

http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx

Informations supplémentaires

ASP.NET permet aux utilisateurs de crypter ou de valider des données par le biais de configuration dans la section MachineKey éventuellement. La mise à jour de sécurité qui est traitée par la sécurité mise à jour MS10-070 modifications du comportement par défaut du chiffrement dans ASP.NET pour effectuer la validation en plus du cryptage même si uniquement le cryptage est demandé. Après avoir installé la mise à jour de sécurité décrite dans le bulletin de sécurité MS10-070, les opérations suivantes sont exécutées lorsque le cryptage est configuré pour ASP.NET :

  • Pendant le cryptage des données, une signature HMAC est générée pour les données cryptées et est ajouté à la fin.

  • Pendant le décryptage de données, la signature de code HMAC est validée avant que les données sont décryptées.

Les clés suivantes dans ASP.NET application (appSettings) de paramètres contrôle le comportement de la signature en outre au cryptage.

Clé

Type

Valeur par défaut

Versions prises en charge on.NET

aspnet:UseLegacyEncryption

Valeur booléenne

False

Microsoft.NET Framework 2.0 Service Pack 1licence.NET Framework 2.0 Service Pack 2Microsoft.NET Framework 3.5Microsoft de.NET Framework 3.5 Service Pack 1licence.NET Framework 4.0

aspnet:UseLegacyMachineKeyEncryption

Valeur booléenne

False

Microsoft .NET Framework 4.0

aspnet:ScriptResourceAllowNonJsFiles

Valeur booléenne

False

Microsoft.NET Framework 3.5 Service Pack 1licence.NET Framework 4.0

Description de l’aspnet:UseLegacyEncryption appSetting

Ce paramètre d’application indique si le cryptage est en outre effectuer validation avec une clé HMAC même lorsque la section de validation dans la section machineKey de configuration d’ASP.NET n’est pas configurée pour la validation de la signature du code HMAC.

aspnet:UseLegacyEncryption

Description

Faux (par défaut)

Ce paramètre configure ASP.NET pour plus effectuer la validation de la signature du code HMAC lorsque ASP.NET est configuré pour utiliser le chiffrement. Cela se produit même si la validation de machineKey n’est pas configurée pour se connecter à l’aide d’une clé HMAC.

True

Ce paramètre configure ASP.NET ne pas à effectuer la validation de la signature du code HMAC lorsqu’il est configuré pour utiliser le cryptage et pas le HMAC signature par le biais de la validation dans machineKey. Remarque Ce paramètre peut permettre à un client malveillant à décrypter, falsifier ou sinon, falsification de données chiffrées.

Pour configurer ce paramètre, ajoutez la configuration suivante dans votre fichier web.config ordinateur ou une application :

<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>

Description d’aspnet:UseLegacyMachineKeyEncryption appSetting

Ce paramètre d’application spécifie si le cryptage via la classe System.Web.Security.MachineKey en outre effectuera validation avec une clé HMAC même lorsque l’argument MachineKeyProtection fourni ne spécifie pas que validation effectuée.

aspnet:UseLegacyMachineKeyEncryption

Description

Faux (par défaut)

Ce paramètre configure ASP.NET pour plus effectuer la validation de la signature du code HMAC via la classe MachineKey lorsque ASP.NET est configuré pour utiliser le cryptage. Cela se produit même si l’argument MachineKeyProtection fourni ne spécifie pas que la validation est effectuée.

True

Ce paramètre configure ASP.NET ne pas à effectuer la validation de la signature du code HMAC via la classe MachineKey lorsqu’il est configuré pour utiliser le cryptage et pas le HMAC signature par le biais de l’argument fourni de MachineKeyProtection . Remarque Ce paramètre peut permettre à un client malveillant à décrypter, falsifier ou sinon, falsification de données chiffrées.

Pour configurer ce paramètre, ajoutez la configuration suivante dans votre fichier web.config ordinateur ou une application :

<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>

Description d’aspnet:ScriptResourceAllowNonJsFiles appSetting

Ce paramètre d’application indique si le gestionnaire ScriptResource.axd dans ASP.NET servira les fichiers non-JavaScript (extension .js). ScriptResource.axd est un gestionnaire ASP.NET qui renvoie les fichiers source JavaScript pour les composants dans une page Web d’ASP.NET AJAX.

aspnet:ScriptResourceAllowNonJsFiles

Description

Faux (par défaut)

Ce paramètre configure ASP.NET pour prendre en charge uniquement les fichiers statiques qui ont l’extension .js (JavaScript) via le gestionnaire ScriptResource.axd.

True

Ce paramètre configure ASP.NET pour prendre en charge n’importe quel fichier statique que l’application ASP.NET peut accéder à via le gestionnaire ScriptResource.axd. Remarque  Ce paramètre permet à n’importe quel fichier dans votre application ASP.NET à être pris en charge par le gestionnaire. Si un tel fichier contient des données sensibles ou confidentielles, ce paramètre peut potentiellement pour une fuite d’informations sensibles à un client.

Pour configurer ce paramètre, ajoutez la configuration suivante dans votre fichier web.config ordinateur ou une application :

<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>

Références

Pour plus d’informations sur la section MachineKey, visitez le site Web Microsoft suivant :

http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxPour plus d’informations sur la classe System.Web.Security.MachineKey , visitez le site Web Microsoft suivant :

http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxPour plus d’informations sur l’utilisation de paramètres d’application (appSettings), cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :

815786 comment stocker et récupérer des informations personnalisées à partir d’un fichier de configuration d’application à l’aide de Visual C# 313405 comment stocker et extraire des informations personnalisées à partir d’un fichier de configuration d’application à l’aide de Visual Basic .NET ou Visual Basic 2005Pour plus d’informations sur la configuration ASP.Net, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

307626 Infos : vue d’ensemble de la Configuration ASP.NET

Facebook LinkedIn E-mail

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders