דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

תקציר

עדכון האבטחה המתואר בעלון האבטחה של Microsoft מספר MS10-070 מבצע שינויים במנגנון ברירת המחדל של ההצפנה ב- ASP.NET לביצוע אימות (חתימה) בנוסף להצפנה. מאמר זה מתאר אפשרויות הגדרת תצורה לחזרה להתנהגות מדור קודם עבור הצפנה ב- ASP.NET.

למידע נוסף אודות עדכון אבטחה זה, בקר באתר האינטרנט הבא:

http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx

מידע נוסף

ASP.NET מאפשר למשתמשים לבחור בין הצפנה או אימות של נתונים באמצעות הגדרת התצורה באיזור MachineKey. עדכון האבטחה הנדון בעלון האבטחה MS10-070 משנה התנהגות ברירת המחדל של ההצפנה ב- ASP.NET לביצוע אימות בנוסף להצפנה גם אם מבקשים רק הצפנה.

לאחר התקנת עדכון האבטחה המתואר בעלון האבטחה MS10-070 הפעולות הבאות מתבצעות כאשר מוגדרת הצפנה עבור ASP.NET:

  • במהלך הצפנת נתונים, חתימת HMAC נוצרת עבור הנתונים המוצפנים ונוספת בסופם.

  • במהלך פענוח הנתונים חתימת HMAC מאומתת לפני פיענוח הנתונים.

המפתחות הבאים בהגדרות יישום ASP.NET‏ (appSettings) שולטים בהתנהגות החתימה בנוסף להצפנה.

מפתח

סוג

ערך ברירת מחדל

נתמך בגירסאות הבאות של ‎.NET

aspnet:UseLegacyEncryption

בוליאני

שקר

Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

aspnet:UseLegacyMachineKeyEncryption

בוליאני

שקר

Microsoft .NET Framework 4.0

aspnet:ScriptResourceAllowNonJsFiles

בוליאני

שקר

Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

תאור של הגדרת aspnet:UseLegacyEncryption appSetting

הגדרת יישום זו קובעת האם ההצפנה תבצע גם אימות עם מפתח HMAC גם כאשר איזור האימות באיזור machineKey של תצורת ASP.NET אינה מוגדרת לאימות חתימת HMAC.

aspnet:UseLegacyEncryption

תיאור

שקר (ברירת מחדל)

הגדרה זו קובעת ל- ASP.NET לבצע גם אימות חתימת HMAC כאשר ASP.NET מוגדר להשתמש בהצפנה. פעולה זו תתרחש גם אם אימות ב- machineKey אינה מוגדרת לבצע חתימה עם מפתח HMAC.

True

הגדרה זו קובעת ל- ASP.NET לא לבצע אימות חתימת HMAC כאשר הוא מוגדר להשתמש בהצפנה ולא בחתימת HMAC באמצעות אימות ב- machineKey.

הערה הגדרה זו עלולה לאפשר ללקוח זדוני לפענח, לזייף או לחבל בדרך אחרת בנתונים מוצפנים.


לקביעת הגדרה זו הוסף את התצורה הבאה בקובץ web.config של היישום או המחשב:

<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

תיאור של aspnet:UseLegacyMachineKeyEncryption appSetting

הגדרת יישום זו קובעת האם הצפנה באמצעות המחלקה System.Web.Security.MachineKey תבע גם אימות עם מפתח HMAC אפילו כאשר הארגומנט MachineKeyProtection אינו מציין לבצע אימות.

aspnet:UseLegacyMachineKeyEncryption

תיאור

שקר (ברירת מחדל)

הגדרה זו קובעת ל- ASP.NET לבצע גם אימות חתימת HMAC באמצעות המחלקה MachineKey כאשר ASP.NET מוגדר להשתמש בהצפנה. הדבר יתרחש גם אם הארגומנט MachineKeyProtection הנתון אינו מציין לבצע אימות.

True

הגדרה זו קובעת ל-ASP.NET לא לבצע אימות חתימת HMAC דרך המחלקה MachineKey כאשר הוא מוגדר להשתמש בהצפנה ולא בחתימת HMAC באמצעות הארגומנט MachineKeyProtection הנתון.

הערה הגדרה זו עלולה לאפשר ללקוח זדוני לפענח, לזייף או לחבל בדרך אחרת בנתונים מוצפנים.


לקביעת הגדרה זו הוסף את התצורה הבאה בקובץ web.config של היישום או המחשב:

<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

תאור של aspnet:ScriptResourceAllowNonJsFiles appSetting

הגדרת יישום זו מציינת האם המטפל ScriptResource.axd ב- ASP.NET תשרת קבצים שאינם JavaScript (סיומת ‎.js). ScriptResource.axd הוא מטפל של ASP.NET המחזיר קובצי מקור של JavaScript לרכיבי AJAX בדפי אינטרנט של ASP.NET.

aspnet:ScriptResourceAllowNonJsFiles

תיאור

שקר (ברירת מחדל)

הגדרה זו קובעת ל- ASP.NET לשרת רק קבצים סטטיים עם סיומת ‎.js‏ (JavaScript) באמצעות המטפל ScriptResource.axd.

True

הגדרה זו קובעת ל-ASP.NET לשרת כל קובץ סטטי שליישום ASP.NET יש גישה אליו באמצעות המטפל ScriptResource.axd.

הערה הגדרה זו מאפשרת לכל קובץ ביישום ASP.NET שלך לקבל שירות באמצעות המטפל. אם קבצים מסוג זה מכילים נתונים רגישים או סודיים אז הגדרה זו עלולה לאפשר דליפת נתונים רגישים ללקוח.


לקביעת הגדרה זו הוסף את התצורה הבאה בקובץ web.config של היישום או המחשב:

<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>

הפניות

לקבלת מידע נוסף אודות איזור MachineKey, בקר באתר האינטרנט הבא של Microsoft:

http://msdn.microsoft.com/he-il/library/w8h3skw9.aspx למידע נוסף אודות המחלקה System.Web.Security.MachineKey, בקר באתר האינטרנט הבאה של Microsoft:

http://msdn.microsoft.com/he-il/library/system.web.security.machinekey.aspxלמידע נוסף אודות אופן השימוש בהגדרות יישום אלו (appSettings), לחץ על מספרי המאמרים הבאים להצגתם במאגר הידע Microsoft Knowledge Base:

815786 כיצד לאחסן ולאחזר מידע מותאם אישית מקובץ הגדרת תצורה של יישום באמצעות Visual C#‎
313405 כיצד לאחסן ולאחזר מידע מותאם אישית מקובץ הגדרת תצורה של יישום באמצעות Visual Basic .NET או Visual Basic 2005




לקבלת מידע נוסף על תצורת ASP.NET, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

307626 מידע: סקירת תצורת ASP.NET

Facebook LinkedIn דואר אלקטרוני

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×