Kopsavilkums
Drošības atjauninājums, kas ir aprakstīta Microsoft drošības biļetens MS10-070 veiktās izmaiņas noklusējuma šifrēšanas mehānisms ASP.net veikt pārbaudes (parakstīšanu) bez šifrēšanas. Šajā rakstā konfigurācijas opcijas, lai atjaunotu mantotā ASP.NET.For šifrēšanas darbība plašāku informāciju par šo drošības atjauninājumu, apmeklējiet šo vietni:
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
Papildinformācija
ASP.NET ļauj lietotājiem nav obligāti šifrētu vai norādījumi, kā konfigurēt sadaļā MachineKey datu validācija. Drošības atjauninājums, kas tiek iesniegtas drošības atjauninājumu MS10-070 izmaiņas šifrēšanas veikt pārbaudes bez šifrēšanas pat tad, ja tiek pieprasīta tikai šifrēšanas ASP.NET noklusējumu. Pēc drošības atjauninājuma instalēšanas aprakstītā drošības biļetenā MS10-070 šādas darbības tiek veiktas, šifrēšana ir iestatīts ASP.NET:
-
Datu šifrēšana, HMAC parakstu tiek ģenerēta šifrētos datus un ir pievienots.
-
HMAC parakstu laikā datu atšifrēšana, tiek pārbaudīti pirms datu atšifrēt.
Šādus taustiņus ASP.NET lietojumprogrammas iestatījumi (appSettings) kontrolē parakstīšanu bez šifrēšanas darbība.
|
Atslēga |
Tips |
Noklusējuma vērtība |
Atbalstītās on.NET versijas |
|---|---|---|---|
|
aspnet:UseLegacyEncryption |
Būla vērtība |
Aplami |
Microsoft .NET Framework 2.0 servisa pakotnes 1Microsoft .NET Framework 2.0 servisa pakotnes 2Microsoft .NET Framework 3.5Microsoft .NET Framework 3.5 servisa pakotnes 1Microsoft .NET Framework 4.0 |
|
aspnet:UseLegacyMachineKeyEncryption |
Būla vērtība |
Aplami |
Microsoft .NET Framework 4.0 |
|
aspnet:ScriptResourceAllowNonJsFiles |
Būla vērtība |
Aplami |
Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
Aspnet:UseLegacyEncryption appSetting apraksts
Šī lietojumprogramma iestatījums norāda vai šifrēšanas papildus veiks validācijas HMAC atslēga, pat tad, ja validācijas sadaļā machineKey ASP.NET konfigurācijas HMAC paraksta validācija nav konfigurēta.
|
aspnet:UseLegacyEncryption |
Apraksts |
|---|---|
|
Aplams (noklusējums) |
Šis iestatījums konfigurē ASP.NET papildus veikt HMAC paraksta validācija, ASP.NET ir konfigurēta, lai izmantotu šifrēšanu. Šāda problēma var rasties, pat ja validācijas machineKey nav konfigurēts, lai pierakstītos, izmantojot HMAC atslēgu. |
|
Spēkā |
Šis iestatījums konfigurē ASP.NET nevar veikt HMAC paraksta validācijas konfigurējot šifrēšanas izmantošana un nav HMAC parakstīšanu ar validācijas machineKey. Piezīme. Šis iestatījums var atļaut ļaunprātīgu klientu, lai atšifrētu, veidot vai citādi ietekmēt šifrētos datus. |
Lai konfigurētu šo iestatījumu, pievienojiet šo konfigurāciju jūsu datoru vai lietojumprogrammas failā Web. config:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>
Aspnet:UseLegacyMachineKeyEncryption appSetting apraksts
Šī lietojumprogramma iestatījums norāda vai šifrēšanas līdz System.Web.Security.MachineKey klases papildus veiks validācijas HMAC atslēga, pat tad, ja norādītais MachineKeyProtection arguments nav norādīts veikt pārbaudes.
|
aspnet:UseLegacyMachineKeyEncryption |
Apraksts |
|---|---|
|
Aplams (noklusējums) |
Šis iestatījums konfigurē ASP.NET papildus veikt HMAC paraksta validācija izmantojot MachineKey klases, ASP.NET ir konfigurēta, lai izmantotu šifrēšanu. Šāda problēma var rasties, pat ja nodrošinātais MachineKeyProtection arguments nenorāda veikt pārbaudes. |
|
Spēkā |
Šis iestatījums konfigurē ASP.NET nevar veikt HMAC paraksta validācija izmantojot MachineKey klases konfigurējot šifrēšanas izmantošana un nav HMAC parakstīšanu ar nosacījumu MachineKeyProtection arguments. Piezīme. Šis iestatījums var atļaut ļaunprātīgu klientu, lai atšifrētu, veidot vai citādi ietekmēt šifrētos datus. |
Lai konfigurētu šo iestatījumu, pievienojiet šo konfigurāciju jūsu datoru vai lietojumprogrammas failā Web. config:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>
Aspnet:ScriptResourceAllowNonJsFiles appSetting apraksts
Šī lietojumprogramma iestatījums norāda vai ScriptResource.axd apdarinātājs ASP.net apkalpo-JavaScript failus (. js paplašinājumu). ScriptResource.axd ir ASP.NET apdarinātāju, kas atgriež AJAX komponentu ASP.NET tīmekļa lapas JavaScript avota failus.
|
aspnet:ScriptResourceAllowNonJsFiles |
Apraksts |
|---|---|
|
Aplams (noklusējums) |
Šis iestatījums konfigurē ASP.NET kalpo tikai statiska failus ar paplašinājumu. js (JavaScript) līdz ScriptResource.axd apdarinātāju. |
|
Spēkā |
Šis iestatījums konfigurē apkalpot jebkuru statisku failu ASP.NET ASP.NET lietojumprogrammas var piekļūt caur ScriptResource.axd apdarinātāju. Piezīme. Šis iestatījums ļauj jebkuru failu lietojumprogrammā ASP.NET jāpiegādā caur apdarinātāju. Šādu failu datu konfidenciāla, ja, tad šis iestatījums var tikt noplūdes konfidenciālu informāciju klientam. |
Lai konfigurētu šo iestatījumu, pievienojiet šo konfigurāciju jūsu datoru vai lietojumprogrammas failā Web. config:
<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>
Atsauces
Papildinformāciju par sadaļu MachineKey, apmeklējiet šo Microsoft vietni:
http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxPapildinformāciju par System.Web.Security.MachineKey klasi, apmeklējiet šo Microsoft vietni:
http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxLai iegūtu papildinformāciju par to, kā izmantot lietojumprogrammu iestatījumi (appSettings), noklikšķiniet uz šiem rakstu numuriem un lasiet Microsoft zināšanu bāzes rakstus:
Kā saglabāt un izgūt lietojumprogrammas konfigurācijas fails pielāgotu informāciju, izmantojot Visual c# 313405 glabāt un izgūt lietojumprogrammas konfigurācijas fails pielāgotu informāciju, izmantojot Visual Basic vai Visual Basic .NET 815786 2005.Lai iegūtu papildinformāciju par ASP.Net konfigurāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:
307626 INFO: ASP.NET konfigurācijas pārskats
