Sammenfatning
Den sikkerhedsopdatering, der beskrives i Microsofts sikkerhedsbulletin MS10-070, foretager ændringer i standardkrypteringsmekanismen i ASP.NET, så der både udføres validering (signering) og kryptering. Denne artikel indeholder en beskrivelse af mulighederne for at vende tilbage til den oprindelige funktionsmåde for kryptering i ASP.NET.
Du kan finde flere oplysninger om denne sikkerhedsopdatering på følgende websted:
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx
Yderligere Information
Med ASP.NET kan brugere vælge mellem at kryptere eller validere data via konfiguration under MachineKey. Den sikkerhedsopdatering, der behandles i sikkerhedsbulletin MS10-070, ændrer standardfunktionsmåden for kryptering i ASP.NET, så der både udføres validering og kryptering, selvom der kun anmodes om kryptering.
Når du har installeret den sikkerhedsopdatering, der er beskrevet i sikkerhedsbulletin MS10070, udføres følgende operationer, når kryptering er angivet for ASP.NET:
-
Under kryptering af data genereres der en HMAC-signatur for de krypterede data, og den vedhæftes dataene.
-
Under kryptering af data, valideres HMAC-signaturen, før dataene dekrypteres.
Følgende nøgler i ASP.NET-programindstillingerne (appSettings) styrer funktionsmåden for signering og kryptering.
|
Nøgle |
Type |
Standardværdi |
Understøttede on.NET-versioner |
|---|---|---|---|
|
aspnet:UseLegacyEncryption |
Boolesk |
Falsk |
Microsoft .NET Framework 2,0 Service Pack 1 |
|
aspnet:UseLegacyMachineKeyEncryption |
Boolesk |
Falsk |
Microsoft .NET Framework 4,0 |
|
aspnet:ScriptResourceAllowNonJsFiles |
Boolesk |
Falsk |
Microsoft .NET Framework 3,5 Service Pack 1 |
Beskrivesle af aspnet:UseLegacyEncryption appSetting
Denne programindstilling angiver, om kryptering også udfører validering med en HMAC-nøgle, når valideringsafsnittet i machineKey-delen af ASP.NET-konfigurationen ikke konfigureres for HMAC-signaturvalidering.
|
aspnet:UseLegacyEncryption |
Beskrivelse |
|---|---|
|
Falsk (standard) |
Denne indstilling konfigurerer ASP.NET, så der også udføres HMAC-signaturvalidering, når ASP.NET konfigureres til at bruge kryptering. Det sker, selvom validering i machineKey ikke er konfigureret til signering vha. en HMAC-nøgle. |
|
True |
Denne indstilling konfigurerer ASP.NET til ikke at udføre HMAC-signaturvalidering, når det konfigureres til at bruge kryptering og ikke HMAC-signering via validering i machineKey. |
Hvis du vil konfigurere denne indstilling, skal du tilføje følgende konfiguration i computerens eller programmets web.config-fil:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>
Beskrivelse af aspnet:UseLegacyMachineKeyEncryption appSetting
Denne programindstilling angiver, om kryptering via klassen System.Web.Security.MachineKey også udfører validering med en HMAC-nøgle, når det angivne MachineKeyProtection-argument ikke angiver, at validering skal udføres.
|
aspnet:UseLegacyMachineKeyEncryption |
Beskrivelse |
|---|---|
|
Falsk (standard) |
Denne indstilling konfigurerer ASP.NET, så der også udføres HMAC-signaturvalidering via klassen MachineKey , når ASP.NET konfigureres til at bruge kryptering. Det sker, selvom det angivne MachineKeyProtection-argument ikke angiver, at der skal udføres validering. |
|
True |
Denne indstilling konfigurerer ASP.NET til ikke at udføre HMAC-signaturvalidering via klassen MachineKey, når det er konfigureret til at bruge kryptering og ikke HMAC-signering via det angivne MachineKeyProtection-argument. |
Hvis du vil konfigurere denne indstilling, skal du tilføje følgende konfiguration i computerens eller programmets web.config-fil:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>
Beskrivelse af aspnet:ScriptResourceAllowNonJsFiles appSetting
Denne programindstilling angiver, om ScriptResource.axd-handleren i ASP.NET behandler ikke-JavaScript-filer (.js). ScriptResource.axd er en ASP.NET-handler, der returnerer JavaScript-kildefiler til AJAX-komponenter på en ASP.NET-webside.
|
aspnet:ScriptResourceAllowNonJsFiles |
Beskrivelse |
|---|---|
|
Falsk (standard) |
Denne indstilling konfigurerer ASP.NET til kun at behandle statiske filer med filtypenavnet .js (JavaScript) via ScriptResource.axd-handleren. |
|
Sand |
Denne indstilling konfigurerer ASP.NET til at behandle alle statiske filer, som ASP.NET-programmet har adgang til via ScriptResource.axd-handleren. |
Hvis du vil konfigurere denne indstilling, skal du tilføje følgende konfiguration i computerens eller programmets web.config-fil:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>
Referencer
Du kan finde flere oplysninger om MachineKey-afsnittet på følgende Microsoft-websted:
http://msdn.microsoft.com/da-dk/library/w8h3skw9.aspx Du kan finde flere oplysninger om System.Web.Security.MachineKey-klassen på følgende Microsoft-websted:
http://msdn.microsoft.com/da-dk/library/system.web.security.machinekey.aspxHvis du vil vide mere om, hvordan du bruger programindstillinger (appSettings), skal du klikke på følgende artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
815786 Sådan gemmes og hentes brugerdefinerede oplysninger fra et programkonfigurationsfil vha. Visual C# ()
313405 Sådan gemmes og hentes brugerdefinerede oplysninger fra et programkonfigurationsfil vha. Visual Basic .NET eller Visual Basic 2005 ()
Du kan finde flere oplysninger om ASP.NET-konfiguration ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
307626 INFO: ASP.NET-konfigurationsoversigt ()
