الملخص
التحديث الأمني الموضح في نشرة الأمن MS10-070 إجراء تغييرات إليه التشفير الافتراضية في ASP.NET لتنفيذ التحقق من الصحة (توقيع) بالإضافة إلى التشفير. توضح هذه المقالة خيارات التكوين الرجوع إلى السلوك القديم للتشفير في ASP.NET.For مزيد من المعلومات حول هذا التحديث الأمني، قم بزيارة موقع ويب التالي:
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
مزيد من المعلومات
ASP.NET يسمح للمستخدمين بتشفير أو التحقق من صحة البيانات من خلال التكوين في المقطع MachineKey اختيارياً. تحديث تحديث الأمان التي تم تناولها بواسطة الأمان MS10-070 تغييرات السلوك الافتراضي للتشفير في ASP.NET لإجراء التحقق من الصحة بالإضافة إلى تشفير حتى إذا طلب التشفير فقط. بعد تثبيت التحديث الأمني الموضح في نشرة الأمن MS10-070، يتم تنفيذ العمليات التالية عند إعداد التشفير ل ASP.NET:
-
أثناء تشفير البيانات، توقيع HMAC للبيانات المشفرة والملحقة به.
-
أثناء فك تشفير البيانات، يتم التحقق من التوقيع HMAC قبل أن يتم فك تشفير البيانات.
المفاتيح التالية في تطبيق ASP.NET الإعدادات (appSettings) تحكم سلوك توقيع بالإضافة إلى ذلك إلى تشفير.
|
مفتاح |
النوع |
القيمة الافتراضية |
الإصدارات المعتمدة on.NET |
|---|---|---|---|
|
aspnet:UseLegacyEncryption |
قيمة منطقية |
خطأ |
Microsoft.NET Framework 2.0 خدمة حزمة 1Microsoft.NET Framework 2.0 خدمة حزمة 2Microsoft.NET Framework 3.5Microsoft.NET Framework 3.5 خدمة حزمة 1Microsoft.NET Framework 4.0 |
|
aspnet:UseLegacyMachineKeyEncryption |
قيمة منطقية |
خطأ |
Microsoft.NET Framework 4.0 |
|
aspnet:ScriptResourceAllowNonJsFiles |
قيمة منطقية |
خطأ |
Microsoft NET Framework 35 خدمة حزمة 1Microsoft.NET Framework 4.0 |
وصف aspnet:UseLegacyEncryption appSetting
يحدد هذا الإعداد تطبيق ما إذا كان التشفير بالإضافة إلى ذلك سيقوم التحقق من الصحة مع مفتاح HMAC حتى إذا لم يتم تكوين المقطع التحقق من الصحة في machineKey تكوين ASP.NET للتحقق من صحة التوقيع HMAC.
|
aspnet:UseLegacyEncryption |
الوصف |
|---|---|
|
خطأ (افتراضي) |
هذا الإعداد بتكوين ASP.NET لإجراء التحقق من صحة التوقيع HMAC بالإضافة إلى ذلك، عندما يتم تكوين ASP.NET لاستخدام التشفير. يحدث هذا حتى إذا لم يتم تكوين التحقق من الصحة في machineKey التوقيع باستخدام مفتاح HMAC. |
|
صحيح |
هذا الإعداد بتكوين ASP.NET لا لإجراء التحقق من صحة التوقيع HMAC عندما تم تكوينه لاستخدام التشفير و HMAC التوقيع عن طريق التحقق من الصحة في machineKey. ملاحظة: قد يسمح هذا الإعداد عميل ضار فك تشفير أو تزوير أو خلاف ذلك التلاعب بالبيانات المشفرة. |
لتكوين هذا الإعداد، إضافة التكوين التالي في الملف web.config الكمبيوتر أو التطبيق الخاص بك:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>
وصف aspnet:UseLegacyMachineKeyEncryption appSetting
يحدد هذا الإعداد تطبيق ما التشفير خلال فئة System.Web.Security.MachineKey بالإضافة إلى ذلك سيقوم التحقق من الصحة مع مفتاح HMAC حتى عندما لا تحدد الوسيطة ماتشينيكييبروتيكشن المتوفرة التي التحقق من صحة.
|
aspnet:UseLegacyMachineKeyEncryption |
الوصف |
|---|---|
|
خطأ (افتراضي) |
هذا الإعداد بتكوين ASP.NET لإجراء التحقق من صحة التوقيع HMAC خلال فئة MachineKey بالإضافة إلى ذلك عندما يتم تكوين ASP.NET لاستخدام التشفير. يحدث هذا حتى إذا لم تحدد الوسيطة ماتشينيكييبروتيكشن المقدمة إجراء التحقق من الصحة. |
|
صحيح |
هذا الإعداد تكوين ASP.NET لا لإجراء التحقق من صحة التوقيع HMAC خلال فئة MachineKey عندما تم تكوينه لاستخدام التشفير و HMAC التوقيع من خلال وسيطة ماتشينيكييبروتيكشن المتوفرة. ملاحظة: قد يسمح هذا الإعداد عميل ضار فك تشفير أو تزوير أو خلاف ذلك التلاعب بالبيانات المشفرة. |
لتكوين هذا الإعداد، إضافة التكوين التالي في الملف web.config الكمبيوتر أو التطبيق الخاص بك:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>
وصف aspnet:ScriptResourceAllowNonJsFiles appSetting
يحدد هذا الإعداد تطبيق ما يعمل معالج ScriptResource.axd في ASP.NET ملفات JavaScript غير (ملحق.js). ScriptResource.axd هو معالج ASP.NET يقوم بإرجاع الملفات المصدر JavaScript لمكونات AJAX في صفحات ويب ASP.NET.
|
aspnet:ScriptResourceAllowNonJsFiles |
الوصف |
|---|---|
|
خطأ (افتراضي) |
هذا الإعداد بتكوين ASP.NET لخدمة الملفات التي لها ملحق.js (JavaScript) من خلال معالج ScriptResource.axd الثابتة فقط. |
|
صحيح |
هذا الإعداد بتكوين ASP.NET لخدمة أي ملف ثابت لدى التطبيق ASP.NET الوصول إلى من خلال معالج ScriptResource.axd. ملاحظة: يسمح هذا الإعداد أي ملف داخل تطبيق ASP.NET الخاص بك يتم تقديمها من خلال المعالج. إذا كان أي ملفات تحتوي على بيانات حساسة أو سرية، المحتمل أن يمكن هذا الإعداد ثم لتسريب معلومات حساسة إلى عميل. |
لتكوين هذا الإعداد، إضافة التكوين التالي في الملف web.config الكمبيوتر أو التطبيق الخاص بك:
<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>
المراجع
لمزيد من المعلومات حول المقطع MachineKey، قم بزيارة موقع Microsoft التالي على الويب:
http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxلمزيد من المعلومات حول فئة System.Web.Security.MachineKey ، قم بزيارة موقع Microsoft التالي على الويب:
http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxلمزيد من المعلومات حول كيفية استخدام إعدادات التطبيق (appSettings)، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
815786 كيفية تخزين واسترداد المعلومات المخصصة من ملف تكوين تطبيق باستخدام Visual C# 313405 كيفية تخزين واسترداد المعلومات المخصصة من ملف تكوين تطبيق باستخدام Visual Basic أو Visual Basic.NET 2005لمزيد من المعلومات حول تكوين ASP.Net، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
معلومات 307626 : نظرة عامة حول تكوين ASP.NET
