Összefoglaló

Az MS10-070 jelű biztonsági közleményében ismertetett biztonsági frissítés módosítja az ASP.NET szolgáltatás titkosítási mechanizmusát annak érdekében, hogy az a titkosítás mellett érvényesítést (aláírást) is végezzen. A cikk ismerteti, hogy milyen beállításokat kell elvégezni az ASP.NET szolgáltatásban a korábbi működési módra való visszatéréshez.A biztonsági frissítésről a Microsoft alábbi webhelyén további információt:

http://www.microsoft.com/hun/technet/security/bulletin/ms10-070.mspx

További információ

Az ASP.NET szolgáltatás lehetővé teszi a felhasználók számára az adatok titkosítását, illetve érvényesítését a MachineKey szakasz beállításával. Az MS10-070 jelű biztonsági frissítés által javított biztonsági frissítés úgy módosítja a titkosítás alapértelmezett működését az ASP.NET szolgáltatásban, hogy az a titkosítás mellett érvényesítést is végezzen, még a csak titkosításra vonatkozó kérések esetén is.Ha telepíti az MS10-070 jelű biztonsági közleményben ismertetett biztonsági frissítést, és az ASP.NET szolgáltatásban be van állítva a titkosítás, a rendszer az alábbi műveleteket hajtja végre:

  • Az adatok titkosítása során HMAC-aláírást hoz létre és fűz hozzá a titkosított adatokhoz.

  • Az adatok visszafejtése során ellenőrzi a HMAC-aláírást az adatok visszafejtése előtt.

Az ASP.NET alkalmazásbeállításaiban (appSettings) a következő kulcsok szabályozzák a titkosítás melletti aláírás működését.

Kulcs

Típus

Alapértelmezett érték

Támogatott .NET-verziók

aspnet:UseLegacyEncryption

Boolean (logikai)

False (hamis)

Microsoft .NET-keretrendszer 2.0 Service Pack 1Microsoft .NET-keretrendszer 2.0 Service Pack 2Microsoft .NET-keretrendszer 3.5Microsoft .NET-keretrendszer 3.5 Service Pack 1Microsoft .NET-keretrendszer 4.0

aspnet:UseLegacyMachineKeyEncryption

Boolean (logikai)

False (hamis)

Microsoft .NET-keretrendszer 4.0

aspnet:ScriptResourceAllowNonJsFiles

Boolean (logikai)

False (hamis)

Microsoft .NET-keretrendszer 3.5 Service Pack 1Microsoft .NET-keretrendszer 4.0

Az aspnet:UseLegacyEncryption alkalmazásbeállítás ismertetése

Meghatározza, hogy a titkosítás mellett még akkor is sor kerüljön-e HMAC-kulccsal történő érvényesítésre, ha az ASP.NET konfigurációjában a machineKey szakasz érvényesítési szakaszában nincs beállítva a HMAC-aláírás érvényesítése.

aspnet:UseLegacyEncryption

Ismertetés

False (alapértelmezett)

Ezen beállítás megadása esetén a HMAC-aláírást is érvényesíti az ASP.NET szolgáltatás, ha titkosítás használatára van beállítva. Az érvényesítés akkor is megtörténik, ha a machineKey szakaszban nincs beállítva a HMAC-kulcs használatával történő aláírás.

True (igaz)

Ezen beállítás megadása esetén az ASP.NET szolgáltatás nem hajtja végre a HMAC-aláírás érvényesítését, ha a machineKey szakaszban a titkosítás használata konfigurálva van, a HMAC-aláírás azonban nem.Megjegyzés: Ez a beállítás lehetővé teheti, hogy egy rosszindulatú személy által működtetett ügyfélszámítógép visszafejtse, meghamisítsa vagy jogosulatlanul módosítsa a titkosított adatokat.

A beállítás konfigurálásához adja hozzá a következő beállításokat a számítógép vagy az alkalmazás web.config fájljához:

<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration> 

Az aspnet:UseLegacyMachineKeyEncryption alkalmazásbeállítás ismertetése

Meghatározza, hogy a System.Web.Security.MachineKey osztályon keresztül történő titkosítás mellett még akkor is sor kerüljön-e HMAC-kulccsal történő érvényesítésre, ha a MachineKeyProtection argumentum nem írja elő az érvényesítést.

aspnet:UseLegacyMachineKeyEncryption

Ismertetés

False (alapértelmezett)

Ezen beállítás megadása esetén a MachineKey osztályon keresztül a HMAC-aláírást is érvényesíti az ASP.NET szolgáltatás, ha titkosítás használatára van beállítva. Az érvényesítés akkor is megtörténik, ha az a MachineKeyProtection argumentumban nincs megadva.

True (igaz)

Ezen beállítás megadása esetén az ASP.NET szolgáltatás nem hajtja végre a HMAC-aláírás a MachineKey osztályon keresztül történő érvényesítését, ha a MachineKeyProtection argumentumban a titkosítás használata konfigurálva van, a HMAC-aláírás azonban nem.Megjegyzés: Ez a beállítás lehetővé teheti, hogy egy rosszindulatú személy által működtetett ügyfélszámítógép visszafejtse, meghamisítsa vagy jogosulatlanul módosítsa a titkosított adatokat.

A beállítás konfigurálásához adja hozzá a következő beállításokat a számítógép vagy az alkalmazás web.config fájljához:

<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration> 

Az aspnet:ScriptResourceAllowNonJsFiles alkalmazásbeállítás ismertetése

Ez az alkalmazásbeállítás megadja, hogy az ASP.NET ScriptResource.axd kezelője kiszolgálja-e a nem JavaScript-alapú (.js kiterjesztésű) fájlokat. Az ASP.NET ScriptResource.axd kezelője JavaScript-forrásfájlokat ad vissza az ASP.NET-alapú weboldalak AJAX-összetevői számára.

aspnet:ScriptResourceAllowNonJsFiles

Ismertetés

False (alapértelmezett)

Ezen beállítás megadása esetén az ASP.NET szolgáltatás csak .js kiterjesztésű (JavaScript) statikus fájlokat szolgálja ki a ScriptResource.axd kezelőn keresztül.

True (igaz)

Ezen beállítás megadása esetén az ASP.NET szolgáltatás minden olyan statikus fájlt kiszolgál a ScriptResource.axd kezelőn keresztül, amelyhez az ASP.NET-alkalmazásnak hozzáférése van.Megjegyzés: Ez a beállítás lehetővé teszi bármely, az ASP.NET-alkalmazásban található fájl kiszolgálását a kezelőn keresztül. Ha ezen fájlok bármelyike bizalmas adatokat tartalmaz, akkor előfordulhat, hogy ez a beállítás lehetővé teszi ezek megszerzését.

A beállítás konfigurálásához adja hozzá a következő beállításokat a számítógép vagy az alkalmazás web.config fájljához:

<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration> 

Hivatkozások

A MachineKey szakaszról a Microsoft alábbi webhelyén olvashat bővebben:

http://msdn.microsoft.com/hu-hu/library/w8h3skw9.aspx A System.Web.Security.MachineKey osztállyal kapcsolatban a Microsoft alábbi webhelyén tájékozódhat:

http://msdn.microsoft.com/hu-hu/library/system.web.security.machinekey.aspxAz alkalmazásbeállítások (appSettings) használatáról a Microsoft Tudásbázis alábbi cikkeiben tájékozódhat:

815786 Egyéni adatok tárolása és beolvasása alkalmazáskonfigurációs fájlokban a Visual C# használatával 313405 Egyéni adatok tárolása és beolvasása alkalmazáskonfigurációs fájlokban a Visual Basic .NET vagy a Visual Basic 2005 használatávalAz ASP.Net szolgáltatás konfigurálásáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

307626 Információ: Az ASP.NET konfigurálásának áttekintése

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.