Ringkasan
Pembaruan keamanan yang dijelaskan di buletin keamanan Microsoft MS10-070 melakukan perubahan pada mekanisme enkripsi default ASP.net melakukan validasi (masuk) Selain enkripsi. Artikel ini menjelaskan opsi konfigurasi untuk kembali ke perilaku warisan untuk enkripsi di ASP.NET.For informasi lebih lanjut tentang pembaruan keamanan, kunjungi situs web berikut:
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
Informasi Selengkapnya
ASP.NET memungkinkan pengguna opsional mengenkripsi atau validasi data melalui konfigurasi di bagian MachineKey. Pembaruan keamanan yang diselesaikan oleh security update MS10-070 perubahan perilaku default enkripsi ASP.net melakukan validasi selain enkripsi meskipun hanya enkripsi yang diminta. Setelah Anda menginstal pembaruan keamanan yang dijelaskan di buletin keamanan MS10-070, operasi berikut ini dilakukan saat enkripsi diatur untuk ASP.NET:
-
Selama enkripsi data, tanda tangan HMAC dibuat untuk data terenkripsi dan ditambahkan ke dalamnya.
-
Selama dekripsi data, tanda HMAC divalidasi sebelum data didekripsi.
Kunci berikut ASP.NET aplikasi pengaturan (appSettings) mengontrol perilaku penandatanganan selain untuk enkripsi.
Kunci |
Ketik |
Nilai default |
Versi on.NET yang didukung |
---|---|---|---|
aspnet:UseLegacyEncryption |
Boolean |
Palsu |
Microsoft .NET Framework 2.0 layanan paket 1Microsoft .NET Framework 2.0 layanan paket 2Microsoft .NET Framework 3.5Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
aspnet:UseLegacyMachineKeyEncryption |
Boolean |
Palsu |
Microsoft .NET Framework 4.0 |
aspnet:ScriptResourceAllowNonJsFiles |
Boolean |
Palsu |
Microsoft.NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
Deskripsi aspnet:UseLegacyEncryption appSetting
Pengaturan aplikasi ini menentukan apakah enkripsi Selain itu akan melakukan validasi dengan kunci HMAC bahkan ketika bagian validasi di bagian machineKey konfigurasi ASP.NET tidak dikonfigurasi untuk HMAC tanda tangan validasi.
aspnet:UseLegacyEncryption |
Deskripsi |
---|---|
Palsu (Default) |
Pengaturan ini mengkonfigurasi ASP.NET Selain itu melakukan validasi tanda tangan HMAC saat ASP.NET dikonfigurasi untuk menggunakan enkripsi. Ini akan terjadi meskipun validasi di machineKey tidak dikonfigurasi untuk masuk dengan menggunakan kunci HMAC. |
Benar |
Pengaturan ini mengkonfigurasi ASP.NET tidak untuk menjalankan HMAC tanda tangan validasi ketika dikonfigurasi untuk menggunakan enkripsi dan HMAC masuk melalui validasi di machineKey. Catatan Pengaturan ini dapat memungkinkan klien berbahaya untuk mendekripsi, membentuk atau atau mengutak-atik data terenkripsi. |
Untuk mengkonfigurasi pengaturan ini, Tambahkan konfigurasi berikut dalam berkas web.config komputer atau aplikasi:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>
Deskripsi aspnet:UseLegacyMachineKeyEncryption appSetting
Pengaturan aplikasi ini menentukan apakah enkripsi melalui kelas System.Web.Security.MachineKey Selain itu akan melakukan validasi dengan kunci HMAC Meskipun argumen MachineKeyProtection yang disediakan tidak menetapkan bahwa validasi dilakukan.
aspnet:UseLegacyMachineKeyEncryption |
Deskripsi |
---|---|
Palsu (Default) |
Pengaturan ini mengkonfigurasi ASP.NET Selain itu melakukan validasi tanda tangan HMAC melalui kelas MachineKey saat ASP.NET dikonfigurasi untuk menggunakan enkripsi. Ini akan terjadi meskipun argumen MachineKeyProtection yang disediakan tidak menetapkan bahwa validasi dilakukan. |
Benar |
Pengaturan ini mengkonfigurasi ASP.NET tidak untuk melakukan validasi tanda tangan HMAC melalui kelas MachineKey ketika dikonfigurasi untuk menggunakan enkripsi dan HMAC masuk melalui argumen MachineKeyProtection disediakan. Catatan Pengaturan ini dapat memungkinkan klien berbahaya untuk mendekripsi, membentuk atau atau mengutak-atik data terenkripsi. |
Untuk mengkonfigurasi pengaturan ini, Tambahkan konfigurasi berikut dalam berkas web.config komputer atau aplikasi:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>
Deskripsi aspnet:ScriptResourceAllowNonJsFiles appSetting
Pengaturan aplikasi ini menentukan apakah pengendali ScriptResource.axd ASP.net akan berfungsi berkas non-JavaScript (.js ekstensi). ScriptResource.axd adalah handler ASP.NET yang mengembalikan berkas sumber JavaScript untuk komponen AJAX di halaman web ASP.NET.
aspnet:ScriptResourceAllowNonJsFiles |
Deskripsi |
---|---|
Palsu (Default) |
Pengaturan ini mengkonfigurasi ASP.NET hanya melayani statis berkas yang memiliki ekstensi .js (JavaScript) melalui pengendali ScriptResource.axd. |
Benar |
Mengkonfigurasi pengaturan ini ASP.NET melayani file statis aplikasi ASP.NET memiliki akses ke melalui pengendali ScriptResource.axd. Catatan Pengaturan ini memungkinkan file apa pun dalam aplikasi ASP.NET disajikan melalui pengendali. Jika file tersebut berisi data yang sensitif atau rahasia, maka pengaturan ini dapat berpotensi bocor informasi sensitif untuk klien. |
Untuk mengkonfigurasi pengaturan ini, Tambahkan konfigurasi berikut dalam berkas web.config komputer atau aplikasi:
<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>
Referensi
Untuk informasi lebih lanjut tentang bagian MachineKey, kunjungi website Microsoft berikut:
http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxUntuk informasi lebih lanjut tentang kelas System.Web.Security.MachineKey , kunjungi website Microsoft berikut:
http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxUntuk informasi selengkapnya tentang cara menggunakan tataan aplikasi (appSettings), klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
815786 cara menyimpan dan mengambil informasi kustom dari berkas konfigurasi aplikasi dengan menggunakan Visual C# 313405 cara menyimpan dan mengambil informasi kustom dari berkas konfigurasi aplikasi dengan menggunakan Visual Basic .NET atau Visual Basic 2005Untuk informasi selengkapnya tentang konfigurasi ASP.Net, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
307626 INFO: ASP.NET konfigurasi Ikhtisar