요약
Microsoft 보안 공지 MS10-070에 설명된 보안 업데이트는 ASP.NET에서 기본 암호화 메커니즘을 변경하여 암호화 외에 유효성 검사(서명)를 수행합니다. 이 문서에서는 ASP.NET에서 암호화에 대한 레거시 동작으로 되돌아가는 구성 옵션에 대해 설명합니다.
이 보안 업데이트에 대한 자세한 내용은 다음 웹 사이트를 참조하십시오.
http://www.microsoft.com/korea/technet/security/bulletin/ms10-070.mspx
추가 정보
ASP.NET에서는 MachineKey 섹션의 구성을 통해 선택적으로 데이터를 암호화하거나 유효성을 검사할 수 있습니다. 보안 업데이트 MS10-070에서 해결된 보안 업데이트는 ASP.NET의 기본 암호화 동작을 변경하여 암호화만 요청되더라도 유효성 검사까지 수행되도록 합니다.
보안 공지 MS10-070에 설명된 보안 업데이트를 설치하면 ASP.NET에 대해 암호화가 설정될 때 다음 작업이 수행됩니다.
-
데이터 암호화 중에 암호화된 데이터에 대해 HMAC 서명이 생성된 후 추가됩니다.
-
데이터 암호 해독 중에는 데이터가 해독되기 전에 HMAC 서명의 유효성이 검사됩니다.
ASP.NET 응용 프로그램 설정(appSettings)의 다음 키는 암호화 외에 서명 동작을 제어합니다.
|
키 |
형식 |
기본값 |
.NET 버전에서 지원됨 |
|---|---|---|---|
|
aspnet:UseLegacyEncryption |
Boolean |
False |
Microsoft .NET Framework 2.0 서비스 팩 1 |
|
aspnet:UseLegacyMachineKeyEncryption |
Boolean |
False |
Microsoft .NET Framework 4.0 |
|
aspnet:ScriptResourceAllowNonJsFiles |
Boolean |
False |
Microsoft .NET Framework 3.5 서비스 팩 1 |
aspnet:UseLegacyEncryption appSetting에 대한 설명
이 응용 프로그램 설정은 ASP.NET 구성의 machineKey 섹션이 HMAC 서명 유효성 검사에 맞게 구성되어 있지 않더라도 HMAC 키로 암호화를 진행할 때 유효성 검사가 추가적으로 수행될지 여부를 지정합니다.
|
aspnet:UseLegacyEncryption |
설명 |
|---|---|
|
False(기본값) |
이 설정은 ASP.NET이 암호화를 사용하도록 구성되어 있을 때 HMAC 서명 유효성 검사를 추가적으로 수행하도록 ASP.NET을 구성합니다. machineKey의 유효성 검사가 HMAC 키를 사용하여 서명하도록 구성되어 있지 않더라도 이러한 현상이 나타납니다. |
|
True |
이 설정은 ASP.NET이 암호화를 사용하지만 machineKey의 유효성 검사를 통해 HMAC 서명을 사용하지 않도록 구성되어 있을 때는 HMAC 서명 유효성 검사를 수행하지 않도록 구성합니다. |
이 설정을 구성하려면 컴퓨터 또는 응용 프로그램 web.config 파일에 다음 구성을 추가합니다.
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>
aspnet:UseLegacyMachineKeyEncryption appSetting에 대한 설명
이 응용 프로그램 설정은 제공된 MachineKeyProtection 인수가 유효성 검사가 수행되도록 지정하지 않더라도 System.Web.Security.MachineKey 클래스를 통한 암호화가 HMAC 키를 사용하여 추가적으로 유효성 검사를 수행할지 여부를 지정합니다.
|
aspnet:UseLegacyMachineKeyEncryption |
설명 |
|---|---|
|
False(기본값) |
이 설정은 ASP.NET이 암호화를 사용하도록 구성되어 있을 때 MachineKey 클래스를 통해 HMAC 서명 유효성 검사를 추가적으로 수행하도록 ASP.NET을 구성합니다. 이러한 동작은 제공된 MachineKeyProtection 인수가 유효성 검사가 수행되도록 지정하지 않을 경우에도 발생합니다. |
|
True |
이 설정은 ASP.NET이 제공된 MachineKeyProtection 인수를 통해 암호화를 사용하지만 HMAC 서명은 사용하지 않도록 구성되어 있을 때 MachineKey 클래스를 통해 HMAC 서명 유효성 검사를 수행하지 않도록 구성합니다. |
이 설정을 구성하려면 컴퓨터 또는 응용 프로그램 web.config 파일에 다음 구성을 추가합니다.
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>
aspnet:ScriptResourceAllowNonJsFiles appSetting에 대한 설명
이 응용 프로그램 설정은 ASP.NET의 ScriptResource.axd 처리기가 JavaScript 파일(.js 확장명) 이외의 파일을 제공할지 여부를 지정합니다. ScriptResource.axd는 ASP.NET 웹 페이지의 AJAX 구성 요소에 JavaScript 소스 파일을 반환하는 ASP.NET 처리기입니다.
|
aspnet:ScriptResourceAllowNonJsFiles |
설명 |
|---|---|
|
False(기본값) |
이 설정은 .js 확장명(JavaScript)을 갖는 정적 파일을 ScriptResource.axd 처리기를 통해서만 제공하도록 ASP.NET을 구성합니다. |
|
True |
이 설정은 ASP.NET 응용 프로그램이 ScriptResource.axd 처리기를 통해 액세스해야 하는 특정 파일을 제공하도록 ASP.NET을 구성합니다. |
이 설정을 구성하려면 컴퓨터 또는 응용 프로그램 web.config 파일에 다음 구성을 추가합니다.
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>
참조
MachineKey 섹션에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://msdn.microsoft.com/ko-kr/library/w8h3skw9.aspxSystem.Web.Security.MachineKey 클래스에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://msdn.microsoft.com/ko-kr/library/system.web.security.machinekey.aspx응용 프로그램 설정(appSettings)을 사용하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
815786 Visual C#을 사용하여 응용 프로그램 구성 파일에서 사용자 지정 정보를 저장 및 가져오는 방법
313405 Visual Basic .NET 또는 Visual Basic 2005를 사용하여 응용 프로그램 구성 파일에서 사용자 지정 정보를 저장 및 가져오는 방법
ASP.Net 구성에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
307626 INFO: ASP.NET 구성 개요
