Cara mengkonfigurasi enkripsi warisan mode ASP.net

Ringkasan

Pembaruan keamanan yang dijelaskan di buletin keamanan Microsoft MS10-070 melakukan perubahan pada mekanisme enkripsi default ASP.net melakukan validasi (masuk) Selain enkripsi. Artikel ini menjelaskan opsi konfigurasi untuk kembali ke perilaku warisan untuk enkripsi di ASP.NET.For informasi lebih lanjut tentang pembaruan keamanan, kunjungi situs web berikut:

http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx

Informasi Selengkapnya

ASP.NET memungkinkan pengguna opsional mengenkripsi atau validasi data melalui konfigurasi di bagian MachineKey. Pembaruan keamanan yang diselesaikan oleh security update MS10-070 perubahan perilaku default enkripsi ASP.net melakukan validasi selain enkripsi meskipun hanya enkripsi yang diminta. Setelah Anda menginstal pembaruan keamanan yang dijelaskan di buletin keamanan MS10-070, operasi berikut ini dilakukan saat enkripsi diatur untuk ASP.NET:

  • Selama enkripsi data, tanda tangan HMAC dibuat untuk data terenkripsi dan ditambahkan ke dalamnya.

  • Selama dekripsi data, tanda HMAC divalidasi sebelum data didekripsi.

Kunci berikut ASP.NET aplikasi pengaturan (appSettings) mengontrol perilaku penandatanganan selain untuk enkripsi.

Kunci

Ketik

Nilai default

Versi on.NET yang didukung

aspnet:UseLegacyEncryption

Boolean

Palsu

Microsoft .NET Framework 2.0 layanan paket 1Microsoft .NET Framework 2.0 layanan paket 2Microsoft .NET Framework 3.5Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0

aspnet:UseLegacyMachineKeyEncryption

Boolean

Palsu

Microsoft .NET Framework 4.0

aspnet:ScriptResourceAllowNonJsFiles

Boolean

Palsu

Microsoft.NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0

Deskripsi aspnet:UseLegacyEncryption appSetting

Pengaturan aplikasi ini menentukan apakah enkripsi Selain itu akan melakukan validasi dengan kunci HMAC bahkan ketika bagian validasi di bagian machineKey konfigurasi ASP.NET tidak dikonfigurasi untuk HMAC tanda tangan validasi.

aspnet:UseLegacyEncryption

Deskripsi

Palsu (Default)

Pengaturan ini mengkonfigurasi ASP.NET Selain itu melakukan validasi tanda tangan HMAC saat ASP.NET dikonfigurasi untuk menggunakan enkripsi. Ini akan terjadi meskipun validasi di machineKey tidak dikonfigurasi untuk masuk dengan menggunakan kunci HMAC.

Benar

Pengaturan ini mengkonfigurasi ASP.NET tidak untuk menjalankan HMAC tanda tangan validasi ketika dikonfigurasi untuk menggunakan enkripsi dan HMAC masuk melalui validasi di machineKey. Catatan Pengaturan ini dapat memungkinkan klien berbahaya untuk mendekripsi, membentuk atau atau mengutak-atik data terenkripsi.

Untuk mengkonfigurasi pengaturan ini, Tambahkan konfigurasi berikut dalam berkas web.config komputer atau aplikasi:

<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration> 

Deskripsi aspnet:UseLegacyMachineKeyEncryption appSetting

Pengaturan aplikasi ini menentukan apakah enkripsi melalui kelas System.Web.Security.MachineKey Selain itu akan melakukan validasi dengan kunci HMAC Meskipun argumen MachineKeyProtection yang disediakan tidak menetapkan bahwa validasi dilakukan.

aspnet:UseLegacyMachineKeyEncryption

Deskripsi

Palsu (Default)

Pengaturan ini mengkonfigurasi ASP.NET Selain itu melakukan validasi tanda tangan HMAC melalui kelas MachineKey saat ASP.NET dikonfigurasi untuk menggunakan enkripsi. Ini akan terjadi meskipun argumen MachineKeyProtection yang disediakan tidak menetapkan bahwa validasi dilakukan.

Benar

Pengaturan ini mengkonfigurasi ASP.NET tidak untuk melakukan validasi tanda tangan HMAC melalui kelas MachineKey ketika dikonfigurasi untuk menggunakan enkripsi dan HMAC masuk melalui argumen MachineKeyProtection disediakan. Catatan Pengaturan ini dapat memungkinkan klien berbahaya untuk mendekripsi, membentuk atau atau mengutak-atik data terenkripsi.

Untuk mengkonfigurasi pengaturan ini, Tambahkan konfigurasi berikut dalam berkas web.config komputer atau aplikasi:

<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration> 

Deskripsi aspnet:ScriptResourceAllowNonJsFiles appSetting

Pengaturan aplikasi ini menentukan apakah pengendali ScriptResource.axd ASP.net akan berfungsi berkas non-JavaScript (.js ekstensi). ScriptResource.axd adalah handler ASP.NET yang mengembalikan berkas sumber JavaScript untuk komponen AJAX di halaman web ASP.NET.

aspnet:ScriptResourceAllowNonJsFiles

Deskripsi

Palsu (Default)

Pengaturan ini mengkonfigurasi ASP.NET hanya melayani statis berkas yang memiliki ekstensi .js (JavaScript) melalui pengendali ScriptResource.axd.

Benar

Mengkonfigurasi pengaturan ini ASP.NET melayani file statis aplikasi ASP.NET memiliki akses ke melalui pengendali ScriptResource.axd. Catatan Pengaturan ini memungkinkan file apa pun dalam aplikasi ASP.NET disajikan melalui pengendali. Jika file tersebut berisi data yang sensitif atau rahasia, maka pengaturan ini dapat berpotensi bocor informasi sensitif untuk klien.

Untuk mengkonfigurasi pengaturan ini, Tambahkan konfigurasi berikut dalam berkas web.config komputer atau aplikasi:

<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration> 

Referensi

Untuk informasi lebih lanjut tentang bagian MachineKey, kunjungi website Microsoft berikut:

http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxUntuk informasi lebih lanjut tentang kelas System.Web.Security.MachineKey , kunjungi website Microsoft berikut:

http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxUntuk informasi selengkapnya tentang cara menggunakan tataan aplikasi (appSettings), klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

815786 cara menyimpan dan mengambil informasi kustom dari berkas konfigurasi aplikasi dengan menggunakan Visual C# 313405 cara menyimpan dan mengambil informasi kustom dari berkas konfigurasi aplikasi dengan menggunakan Visual Basic .NET atau Visual Basic 2005Untuk informasi selengkapnya tentang konfigurasi ASP.Net, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

307626 INFO: ASP.NET konfigurasi Ikhtisar

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×