Rezumat

Actualizarea de securitate care este descrisă în Microsoft buletinul de securitate MS10-070 efectuează modificări mecanismul de criptare implicită în ASP.NET se efectuează validarea (semnătură) în plus faţă de criptare. Acest articol descrie opțiunile de configurare pentru a reveni la comportamentul moștenite pentru criptarea în ASP.NET.For mai multe informații despre această actualizare de securitate, vizitați următorul site web:

http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx

Mai multe informații

ASP.NET permite utilizatorilor să opţional criptarea sau validarea datelor prin configurarea în secțiunea MachineKey. Actualizarea de securitate care este tratată de securitate actualizare MS10-070 modificările comportamentul implicit de criptare în ASP.NET se efectuează validare în afară de criptare, chiar dacă numai criptare este solicitată. După ce instalați actualizarea de securitate care este descrisă în buletinul de securitate MS10-070, se efectuează următoarele operațiuni atunci când criptarea este configurat pentru ASP.NET:

  • În timpul de criptare a datelor, o semnătură HMAC generat pentru datele criptate și este adăugată la ea.

  • În timpul de decriptare a datelor, semnătura HMAC este validat înainte de datele este decriptat.

Următoarele chei în ASP.NET aplicație setările (appSettings) controlează comportamentul de semnare în plus la criptare.

Cheie

Tip

Valoare implicită

Versiuni acceptate on.NET

aspnet:UseLegacyEncryption

Boolean

Fals

Microsoft .NET Framework 2.0 Service Pack 1Microsoft .NET Framework 2.0 Service Pack 2Microsoft .NET Framework 3.5Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0

aspnet:UseLegacyMachineKeyEncryption

Boolean

Fals

Microsoft .NET Framework 4.0

aspnet:ScriptResourceAllowNonJsFiles

Boolean

Fals

Microsoft.NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0

Descrierea appSetting aspnet:UseLegacyEncryption

Această setare de aplicație specifică dacă criptarea în plus va efectua validare cu o cheie HMAC chiar și atunci când secțiunea de validare în secțiunea machineKey de configurare ASP.NET nu este configurat pentru validare de semnătură HMAC.

aspnet:UseLegacyEncryption

Descrierea

False (implicit)

Această setare configurează ASP.NET pentru a efectua în plus HMAC semnătură validare când ASP.NET este configurat să utilizeze criptarea. Acest lucru se întâmplă chiar dacă validare în machineKey nu este configurat pentru a vă conecta utilizând o cheie HMAC.

Adevărate

Această setare configurează ASP.NET nu se efectuează HMAC semnătură validare atunci când este configurat să utilizeze criptarea și nu HMAC semnarea prin validarea în machineKey. Notă Această setare poate permite un client rău intenționat pentru a decripta, crea sau altfel manipuleze cu datele criptate.

Pentru a configura această setare, adăugați următoarea configurație în fișierul web.config computerul sau aplicație:

<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration> 

Descrierea aspnet:UseLegacyMachineKeyEncryption appSetting

Această setare de aplicație specifică dacă criptarea prin clasa System.Web.Security.MachineKey în plus va efectua validare cu o cheie HMAC chiar și atunci când argumentul MachineKeyProtection furnizată nu specifică care validare efectuate.

aspnet:UseLegacyMachineKeyEncryption

Descrierea

False (implicit)

Această setare configurează ASP.NET pentru a efectua în plus HMAC semnătură de validare prin clasa MachineKey când ASP.NET este configurat să utilizeze criptarea. Acest lucru se întâmplă chiar dacă argumentul MachineKeyProtection furnizată nu specifică efectuată de validare.

Adevărate

Această setare configurează ASP.NET nu se efectuează HMAC semnătură de validare prin clasa MachineKey atunci când este configurat să utilizeze criptarea și nu HMAC semnarea prin argumentul MachineKeyProtection furnizată. Notă Această setare poate permite un client rău intenționat pentru a decripta, crea sau altfel manipuleze cu datele criptate.

Pentru a configura această setare, adăugați următoarea configurație în fișierul web.config computerul sau aplicație:

<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration> 

Descrierea aspnet:ScriptResourceAllowNonJsFiles appSetting

Această setare de aplicație specifică dacă rutina ScriptResource.axd în ASP.NET va servi non-JavaScript fişiere (extensia .js). ScriptResource.axd este o rutină de tratare ASP.NET care returnează fișierele sursă de JavaScript AJAX componente într-o pagină Web ASP.NET.

aspnet:ScriptResourceAllowNonJsFiles

Descrierea

False (implicit)

Această setare configurează ASP.NET pentru a servi numai fișierele statice care au extensia .js (JavaScript) prin rutina de tratare ScriptResource.axd.

Adevărate

Această setare configurează ASP.NET pentru a servi orice fișier statică că aplicația ASP.NET are acces prin rutina de tratare ScriptResource.axd. Notă Această setare permite orice fișier în aplicația pentru a fi servit prin rutina de tratare ASP.NET. Dacă aceste fișierele conține date sensibile sau confidențiale, apoi această setare poate potențial pentru pierderi de informații sensibile la un client.

Pentru a configura această setare, adăugați următoarea configurație în fișierul web.config computerul sau aplicație:

<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration> 

Referințe

Pentru mai multe informații despre secțiunea MachineKey, vizitați următorul site Web Microsoft:

http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxPentru mai multe informații despre clasa System.Web.Security.MachineKey , vizitați următorul site Web Microsoft:

http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxPentru mai multe informații despre cum se utilizează setările de aplicație (appSettings), faceți clic pe următoarele numere de articol pentru a vedea articolele în baza de cunoștințe Microsoft:

Cum 815786 stocarea și regăsirea particularizate informații dintr-un fișier de configurare a aplicației utilizând Visual C# 313405 stocarea și regăsirea particularizate informații dintr-un fișier de configurare a aplicației utilizând Visual Basic .NET sau Visual Basic 2005Pentru mai multe informații despre configurația ASP.Net, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

307626 INFO: ASP.NET configurare prezentare generală

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.