Je bent nu offline; er wordt gewacht tot er weer een internetverbinding is

De verouderde coderingsmodus in ASP.NET configureren

Samenvatting
De beveiligingsupdate die is beschreven in Microsoft-beveiligingsbulletin MS10-070 brengt wijzigingen aan in het standaardcoderingsmechanisme in ASP.NET, zodat er naast coderingsbewerkingen tevens validatiebewerkingen (ondertekening) worden uitgevoerd. In dit artikel zijn de configuratieopties beschreven voor het terugzetten van het verouderde gedrag voor codering in ASP.NET.

Ga voor meer informatie over deze beveiligingsupdate naar de volgende website van Microsoft:
Meer informatie
ASP.NET maakt het gebruikers mogelijk om optioneel gegevens te coderen of valideren door de hiertoe vereiste configuratiebewerkingen uit te voeren in de sectie MachineKey. De beveiligingsupdate die is beschreven in Microsoft-beveiligingsbulletin MS10-070 wijzigt het standaardcoderingsgedrag in ASP.NET, zodat er naast coderingsbewerkingen tevens validatiebewerkingen worden uitgevoerd, zelfs wanneer er uitsluitend om codering wordt verzocht.

Nadat u de beveiligingsupdate die is beschreven in Microsoft-beveiligingsbulletin MS10-070 hebt geïnstalleerd, worden de volgende bewerkingen uitgevoerd wanneer er codering voor ASP.NET is ingesteld:
  • Tijdens het coderen van gegevens wordt er voor de gecodeerde gegevens een HMAC-handtekening gegenereerd die er volgens aan wordt toegevoegd.
  • Tijdens het decoderen van gegevens wordt de HMAC-handtekening gevalideerd voordat de gegevens worden gedecodeerd.
De volgende sleutels in de ASP.NET-toepassingsinstellingen (appSettings) bepalen of er naast codering tevens in ondertekening moet worden voorzien.
SleutelTypeStandaardwaardeOndersteunde .NET-versies
aspnet:UseLegacyEncryptionBoolean)FalseMicrosoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0
aspnet:UseLegacyMachineKeyEncryptionBoolean)FalseMicrosoft .NET Framework 4.0
aspnet:ScriptResourceAllowNonJsFilesBoolean)FalseMicrosoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.0

Beschrijving van aspnet:UseLegacyEncryption appSetting

Deze toepassingsinstelling specificeert of er naast codering zelfs validatie met behulp van een HMAC-sleutel wordt uitgevoerd als er in de sectie MachineKey van ASP.NET-configuratie geen HMAC-handtekeningvalidatie is geconfigureerd.
aspnet:UseLegacyEncryptionBeschrijving
False (standaardinstelling)Deze instelling bepaalt dat ASP.NET tevens HMAC-handtekeningvalidatie moet uitvoeren wanneer ASP.NET is geconfigureerd voor het gebruik van codering. Deze validatie treedt ook op wanneer er in MachineKey niet is geconfigureerd dat er met een HMAC-sleutel moet worden ondertekend.
TrueDeze instelling bepaalt dat ASP.NET geen HMAC-handtekeningvalidatie moet uitvoeren wanneer ASP.NET is geconfigureerd voor het gebruik van codering en dat er geen HMAC-ondertekening plaatsheeft via validatie in MachineKey.

Opmerking Deze instelling maakt het een schadelijke client mogelijk om gecodeerde gegevens te decoderen, te vervalsen of anderszins te wijzigen.

Als u deze instelling wilt configureren, moet u de volgende gegevens aan het bestand web.config voor de computer of toepassing toevoegen:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>

Beschrijving van aspnet:UseLegacyMachineKeyEncryption appSetting

Deze toepassingsinstelling bepaalt of er bij codering via de klasse System.Web.Security.MachineKey tevens validatie met een HMAC-sleutel wordt uitgevoerd wanneer er via het verstrekte argument MachineKeyProtection niet is opgegeven dat er validatie moet worden uitgevoerd.
aspnet:UseLegacyMachineKeyEncryptionBeschrijving
False (standaardinstelling)Deze instelling bepaalt dat ASP.NET tevens HMAC-handtekeningvalidatie via de klasse MachineKey moet uitvoeren wanneer ASP.NET is geconfigureerd voor het gebruik van codering. Deze validatie heeft ook plaats als er via het verstrekte argument MachineKeyProtection niet is opgegeven dat er validatie moet worden uitgevoerd.
TrueDeze instelling bepaalt dat ASP.NET geen HMAC-handtekeningvalidatie via de klasse MachineKey moet uitvoeren wanneer dit is geconfigureerd voor het gebruik van codering en wanneer er via het verstrekte argument MachineKeyProtection niet in HMAC-ondertekening wordt voorzien.

Opmerking Deze instelling maakt het een schadelijke client mogelijk om gecodeerde gegevens te decoderen, te vervalsen of anderszins te wijzigen.

Als u deze instelling wilt configureren, moet u de volgende gegevens aan het bestand web.config voor de computer of toepassing toevoegen:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>

Beschrijving van aspnet:ScriptResourceAllowNonJsFiles appSetting

Deze toepassingsinstelling bepaalt of de ScriptResource.axd-handler in ASP.NET niet-JavaScript-bestanden (.js extensie) bedient. ScriptResource.axd is een ASP.NET-handler die JavaScript-aan AJAX-componenten in een ASP.NET-webpagina retourneert.
aspnet:ScriptResourceAllowNonJsFilesBeschrijving
False (standaardinstelling)Deze instelling bepaalt dat ASP.NET via de ScriptResource.axd-handler uitsluitend statische bestanden met de extensie .js (JavaScript) bedient.
TrueDeze instelling bepaalt dat ASP.NET elk statisch bestand waartoe de ASP.NET-toepassing toegang heeft, via de ScriptResource.axd-handler bedient.

Opmerking Deze instelling maakt het mogelijk dat elk bestand binnen de ASP.NET-toepassing via de handler wordt bediend. Als een dergelijk bestand gevoelige of vertrouwelijke gegevens bevat, kan deze instelling mogelijk leiden tot het lekken van gevoelige informatie naar een client. 

Als u deze instelling wilt configureren, moet u de volgende gegevens aan het bestand web.config voor de computer of toepassing toevoegen:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>
Verwijzingen
Ga voor meer informatie over de sectie MachineKey naar de volgende Microsoft-website: Ga voor meer informatie over de klasse System.Web.Security.MachineKey naar de volgende Microsoft-website: Klik voor meer informatie over het gebruik van toepassingsinstellingen (appSettings) op de volgende artikelnummers, zodat de desbetreffende Microsoft Knowledge Base-artikelen worden weergegeven:
815786 Aangepaste informatie opslaan in en ophalen uit een configuratiebestand voor een toepassing met behulp van Visual C#
313405 Aangepaste informatie opslaan in en ophalen uit een configuratiebestand voor een toepassing met behulp van Visual Basic .NET of Visual Basic 2005
Klik voor meer informatie over de ASP.Net-configuratie op het volgende artikelnummer, zodat de desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
307626 INFO: ASP.NET-configuratie - Overzicht
Opmerking Dit is een artikel voor snelle publicatie dat rechtstreeks is gemaakt vanuit de ondersteuningsorganisatie van Microsoft. De informatie in dit artikel wordt in de huidige vorm aangeboden in reactie op nieuw geconstateerde problemen. Aangezien artikelen van dit type zeer snel moeten worden gepubliceerd, kan de inhoud typografische fouten bevatten en kan de inhoud zonder voorafgaande kennisgeving worden gewijzigd. Raadpleeg de Gebruiksrechtovereenkomst voor overige aandachtspunten.
Eigenschappen

Artikel-id: 2425938 - Laatst bijgewerkt: 10/26/2010 14:57:00 - Revisie: 1.0

Microsoft .NET Framework 4, Microsoft .NET Framework 3.5 Service Pack 1, Microsoft .NET Framework 3.5, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 2.0 Service Pack 1 (x86)

  • kbexpertiseinter kbhowto kbsecurity kbsurveynew KB2425938
Feedback