תקציר
עדכון האבטחה המתואר בעלון האבטחה של Microsoft מספר MS10-070 מבצע שינויים במנגנון ברירת המחדל של ההצפנה ב- ASP.NET לביצוע אימות (חתימה) בנוסף להצפנה. מאמר זה מתאר אפשרויות הגדרת תצורה לחזרה להתנהגות מדור קודם עבור הצפנה ב- ASP.NET.
למידע נוסף אודות עדכון אבטחה זה, בקר באתר האינטרנט הבא:
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
מידע נוסף
ASP.NET מאפשר למשתמשים לבחור בין הצפנה או אימות של נתונים באמצעות הגדרת התצורה באיזור MachineKey. עדכון האבטחה הנדון בעלון האבטחה MS10-070 משנה התנהגות ברירת המחדל של ההצפנה ב- ASP.NET לביצוע אימות בנוסף להצפנה גם אם מבקשים רק הצפנה.
לאחר התקנת עדכון האבטחה המתואר בעלון האבטחה MS10-070 הפעולות הבאות מתבצעות כאשר מוגדרת הצפנה עבור ASP.NET:
-
במהלך הצפנת נתונים, חתימת HMAC נוצרת עבור הנתונים המוצפנים ונוספת בסופם.
-
במהלך פענוח הנתונים חתימת HMAC מאומתת לפני פיענוח הנתונים.
המפתחות הבאים בהגדרות יישום ASP.NET (appSettings) שולטים בהתנהגות החתימה בנוסף להצפנה.
מפתח |
סוג |
ערך ברירת מחדל |
נתמך בגירסאות הבאות של .NET |
---|---|---|---|
aspnet:UseLegacyEncryption |
בוליאני |
שקר |
Microsoft .NET Framework 2.0 Service Pack 1 |
aspnet:UseLegacyMachineKeyEncryption |
בוליאני |
שקר |
Microsoft .NET Framework 4.0 |
aspnet:ScriptResourceAllowNonJsFiles |
בוליאני |
שקר |
Microsoft .NET Framework 3.5 Service Pack 1 |
תאור של הגדרת aspnet:UseLegacyEncryption appSetting
הגדרת יישום זו קובעת האם ההצפנה תבצע גם אימות עם מפתח HMAC גם כאשר איזור האימות באיזור machineKey של תצורת ASP.NET אינה מוגדרת לאימות חתימת HMAC.
aspnet:UseLegacyEncryption |
תיאור |
---|---|
שקר (ברירת מחדל) |
הגדרה זו קובעת ל- ASP.NET לבצע גם אימות חתימת HMAC כאשר ASP.NET מוגדר להשתמש בהצפנה. פעולה זו תתרחש גם אם אימות ב- machineKey אינה מוגדרת לבצע חתימה עם מפתח HMAC. |
True |
הגדרה זו קובעת ל- ASP.NET לא לבצע אימות חתימת HMAC כאשר הוא מוגדר להשתמש בהצפנה ולא בחתימת HMAC באמצעות אימות ב- machineKey. |
לקביעת הגדרה זו הוסף את התצורה הבאה בקובץ web.config של היישום או המחשב:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>
תיאור של aspnet:UseLegacyMachineKeyEncryption appSetting
הגדרת יישום זו קובעת האם הצפנה באמצעות המחלקה System.Web.Security.MachineKey תבע גם אימות עם מפתח HMAC אפילו כאשר הארגומנט MachineKeyProtection אינו מציין לבצע אימות.
aspnet:UseLegacyMachineKeyEncryption |
תיאור |
---|---|
שקר (ברירת מחדל) |
הגדרה זו קובעת ל- ASP.NET לבצע גם אימות חתימת HMAC באמצעות המחלקה MachineKey כאשר ASP.NET מוגדר להשתמש בהצפנה. הדבר יתרחש גם אם הארגומנט MachineKeyProtection הנתון אינו מציין לבצע אימות. |
True |
הגדרה זו קובעת ל-ASP.NET לא לבצע אימות חתימת HMAC דרך המחלקה MachineKey כאשר הוא מוגדר להשתמש בהצפנה ולא בחתימת HMAC באמצעות הארגומנט MachineKeyProtection הנתון. |
לקביעת הגדרה זו הוסף את התצורה הבאה בקובץ web.config של היישום או המחשב:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>
תאור של aspnet:ScriptResourceAllowNonJsFiles appSetting
הגדרת יישום זו מציינת האם המטפל ScriptResource.axd ב- ASP.NET תשרת קבצים שאינם JavaScript (סיומת .js). ScriptResource.axd הוא מטפל של ASP.NET המחזיר קובצי מקור של JavaScript לרכיבי AJAX בדפי אינטרנט של ASP.NET.
aspnet:ScriptResourceAllowNonJsFiles |
תיאור |
---|---|
שקר (ברירת מחדל) |
הגדרה זו קובעת ל- ASP.NET לשרת רק קבצים סטטיים עם סיומת .js (JavaScript) באמצעות המטפל ScriptResource.axd. |
True |
הגדרה זו קובעת ל-ASP.NET לשרת כל קובץ סטטי שליישום ASP.NET יש גישה אליו באמצעות המטפל ScriptResource.axd. |
לקביעת הגדרה זו הוסף את התצורה הבאה בקובץ web.config של היישום או המחשב:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>
הפניות
לקבלת מידע נוסף אודות איזור MachineKey, בקר באתר האינטרנט הבא של Microsoft:
http://msdn.microsoft.com/he-il/library/w8h3skw9.aspx למידע נוסף אודות המחלקה System.Web.Security.MachineKey, בקר באתר האינטרנט הבאה של Microsoft:
http://msdn.microsoft.com/he-il/library/system.web.security.machinekey.aspxלמידע נוסף אודות אופן השימוש בהגדרות יישום אלו (appSettings), לחץ על מספרי המאמרים הבאים להצגתם במאגר הידע Microsoft Knowledge Base:
815786 כיצד לאחסן ולאחזר מידע מותאם אישית מקובץ הגדרת תצורה של יישום באמצעות Visual C#
313405 כיצד לאחסן ולאחזר מידע מותאם אישית מקובץ הגדרת תצורה של יישום באמצעות Visual Basic .NET או Visual Basic 2005
לקבלת מידע נוסף על תצורת ASP.NET, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
307626 מידע: סקירת תצורת ASP.NET