Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

Örökölt titkosítási mód beállítása az ASP.NET szolgáltatásban

Összefoglaló
Az MS10-070 jelű biztonsági közleményében ismertetett biztonsági frissítés módosítja az ASP.NET szolgáltatás titkosítási mechanizmusát annak érdekében, hogy az a titkosítás mellett érvényesítést (aláírást) is végezzen. A cikk ismerteti, hogy milyen beállításokat kell elvégezni az ASP.NET szolgáltatásban a korábbi működési módra való visszatéréshez.

A biztonsági frissítésről a Microsoft alábbi webhelyén további információt:
További információ
Az ASP.NET szolgáltatás lehetővé teszi a felhasználók számára az adatok titkosítását, illetve érvényesítését a MachineKey szakasz beállításával. Az MS10-070 jelű biztonsági frissítés által javított biztonsági frissítés úgy módosítja a titkosítás alapértelmezett működését az ASP.NET szolgáltatásban, hogy az a titkosítás mellett érvényesítést is végezzen, még a csak titkosításra vonatkozó kérések esetén is.

Ha telepíti az MS10-070 jelű biztonsági közleményben ismertetett biztonsági frissítést, és az ASP.NET szolgáltatásban be van állítva a titkosítás, a rendszer az alábbi műveleteket hajtja végre:
  • Az adatok titkosítása során HMAC-aláírást hoz létre és fűz hozzá a titkosított adatokhoz.
  • Az adatok visszafejtése során ellenőrzi a HMAC-aláírást az adatok visszafejtése előtt.
Az ASP.NET alkalmazásbeállításaiban (appSettings) a következő kulcsok szabályozzák a titkosítás melletti aláírás működését.
KulcsTípusAlapértelmezett értékTámogatott .NET-verziók
aspnet:UseLegacyEncryptionBoolean (logikai)False (hamis)Microsoft .NET-keretrendszer 2.0 Service Pack 1
Microsoft .NET-keretrendszer 2.0 Service Pack 2
Microsoft .NET-keretrendszer 3.5
Microsoft .NET-keretrendszer 3.5 Service Pack 1
Microsoft .NET-keretrendszer 4.0
aspnet:UseLegacyMachineKeyEncryptionBoolean (logikai)False (hamis)Microsoft .NET-keretrendszer 4.0
aspnet:ScriptResourceAllowNonJsFilesBoolean (logikai)False (hamis)Microsoft .NET-keretrendszer 3.5 Service Pack 1
Microsoft .NET-keretrendszer 4.0

Az aspnet:UseLegacyEncryption alkalmazásbeállítás ismertetése

Meghatározza, hogy a titkosítás mellett még akkor is sor kerüljön-e HMAC-kulccsal történő érvényesítésre, ha az ASP.NET konfigurációjában a machineKey szakasz érvényesítési szakaszában nincs beállítva a HMAC-aláírás érvényesítése.
aspnet:UseLegacyEncryptionIsmertetés
False (alapértelmezett)Ezen beállítás megadása esetén a HMAC-aláírást is érvényesíti az ASP.NET szolgáltatás, ha titkosítás használatára van beállítva. Az érvényesítés akkor is megtörténik, ha a machineKey szakaszban nincs beállítva a HMAC-kulcs használatával történő aláírás.
True (igaz)Ezen beállítás megadása esetén az ASP.NET szolgáltatás nem hajtja végre a HMAC-aláírás érvényesítését, ha a machineKey szakaszban a titkosítás használata konfigurálva van, a HMAC-aláírás azonban nem.

Megjegyzés: Ez a beállítás lehetővé teheti, hogy egy rosszindulatú személy által működtetett ügyfélszámítógép visszafejtse, meghamisítsa vagy jogosulatlanul módosítsa a titkosított adatokat.

A beállítás konfigurálásához adja hozzá a következő beállításokat a számítógép vagy az alkalmazás web.config fájljához:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

Az aspnet:UseLegacyMachineKeyEncryption alkalmazásbeállítás ismertetése

Meghatározza, hogy a System.Web.Security.MachineKey osztályon keresztül történő titkosítás mellett még akkor is sor kerüljön-e HMAC-kulccsal történő érvényesítésre, ha a MachineKeyProtection argumentum nem írja elő az érvényesítést.
aspnet:UseLegacyMachineKeyEncryptionIsmertetés
False (alapértelmezett)Ezen beállítás megadása esetén a MachineKey osztályon keresztül a HMAC-aláírást is érvényesíti az ASP.NET szolgáltatás, ha titkosítás használatára van beállítva. Az érvényesítés akkor is megtörténik, ha az a MachineKeyProtection argumentumban nincs megadva.
True (igaz)Ezen beállítás megadása esetén az ASP.NET szolgáltatás nem hajtja végre a HMAC-aláírás a MachineKey osztályon keresztül történő érvényesítését, ha a MachineKeyProtection argumentumban a titkosítás használata konfigurálva van, a HMAC-aláírás azonban nem.

Megjegyzés: Ez a beállítás lehetővé teheti, hogy egy rosszindulatú személy által működtetett ügyfélszámítógép visszafejtse, meghamisítsa vagy jogosulatlanul módosítsa a titkosított adatokat.

A beállítás konfigurálásához adja hozzá a következő beállításokat a számítógép vagy az alkalmazás web.config fájljához:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

Az aspnet:ScriptResourceAllowNonJsFiles alkalmazásbeállítás ismertetése

Ez az alkalmazásbeállítás megadja, hogy az ASP.NET ScriptResource.axd kezelője kiszolgálja-e a nem JavaScript-alapú (.js kiterjesztésű) fájlokat. Az ASP.NET ScriptResource.axd kezelője JavaScript-forrásfájlokat ad vissza az ASP.NET-alapú weboldalak AJAX-összetevői számára.
aspnet:ScriptResourceAllowNonJsFilesIsmertetés
False (alapértelmezett)Ezen beállítás megadása esetén az ASP.NET szolgáltatás csak .js kiterjesztésű (JavaScript) statikus fájlokat szolgálja ki a ScriptResource.axd kezelőn keresztül.
True (igaz)Ezen beállítás megadása esetén az ASP.NET szolgáltatás minden olyan statikus fájlt kiszolgál a ScriptResource.axd kezelőn keresztül, amelyhez az ASP.NET-alkalmazásnak hozzáférése van.

Megjegyzés: Ez a beállítás lehetővé teszi bármely, az ASP.NET-alkalmazásban található fájl kiszolgálását a kezelőn keresztül. Ha ezen fájlok bármelyike bizalmas adatokat tartalmaz, akkor előfordulhat, hogy ez a beállítás lehetővé teszi ezek megszerzését. 

A beállítás konfigurálásához adja hozzá a következő beállításokat a számítógép vagy az alkalmazás web.config fájljához:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>
Hivatkozások
A MachineKey szakaszról a Microsoft alábbi webhelyén olvashat bővebben: A System.Web.Security.MachineKey osztállyal kapcsolatban a Microsoft alábbi webhelyén tájékozódhat: Az alkalmazásbeállítások (appSettings) használatáról a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:
815786 Egyéni adatok tárolása és beolvasása alkalmazáskonfigurációs fájlokban a Visual C# használatával
313405 Egyéni adatok tárolása és beolvasása alkalmazáskonfigurációs fájlokban a Visual Basic .NET vagy a Visual Basic 2005 használatával
Az ASP.Net szolgáltatás konfigurálásáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
307626 Információ: Az ASP.NET konfigurálásának áttekintése
Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELŰ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkező problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következően tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek között.
Tulajdonságok

Cikkazonosító: 2425938 - Utolsó ellenőrzés: 10/26/2010 10:37:00 - Verziószám: 1.0

Microsoft .NET Framework 4.0, Microsoft .NET Framework 3.5 Service Pack 1, Microsoft .NET Framework 3.5, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 2.0 Service Pack 1 (x86)

  • kbhowto kbsecurity kbexpertiseinter KB2425938
Visszajelzés
script>