Rezumat
Actualizarea de securitate care este descrisă în Microsoft buletinul de securitate MS10-070 efectuează modificări mecanismul de criptare implicită în ASP.NET se efectuează validarea (semnătură) în plus faţă de criptare. Acest articol descrie opțiunile de configurare pentru a reveni la comportamentul moștenite pentru criptarea în ASP.NET.For mai multe informații despre această actualizare de securitate, vizitați următorul site web:
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
Mai multe informații
ASP.NET permite utilizatorilor să opţional criptarea sau validarea datelor prin configurarea în secțiunea MachineKey. Actualizarea de securitate care este tratată de securitate actualizare MS10-070 modificările comportamentul implicit de criptare în ASP.NET se efectuează validare în afară de criptare, chiar dacă numai criptare este solicitată. După ce instalați actualizarea de securitate care este descrisă în buletinul de securitate MS10-070, se efectuează următoarele operațiuni atunci când criptarea este configurat pentru ASP.NET:
-
În timpul de criptare a datelor, o semnătură HMAC generat pentru datele criptate și este adăugată la ea.
-
În timpul de decriptare a datelor, semnătura HMAC este validat înainte de datele este decriptat.
Următoarele chei în ASP.NET aplicație setările (appSettings) controlează comportamentul de semnare în plus la criptare.
Cheie |
Tip |
Valoare implicită |
Versiuni acceptate on.NET |
---|---|---|---|
aspnet:UseLegacyEncryption |
Boolean |
Fals |
Microsoft .NET Framework 2.0 Service Pack 1Microsoft .NET Framework 2.0 Service Pack 2Microsoft .NET Framework 3.5Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
aspnet:UseLegacyMachineKeyEncryption |
Boolean |
Fals |
Microsoft .NET Framework 4.0 |
aspnet:ScriptResourceAllowNonJsFiles |
Boolean |
Fals |
Microsoft.NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
Descrierea appSetting aspnet:UseLegacyEncryption
Această setare de aplicație specifică dacă criptarea în plus va efectua validare cu o cheie HMAC chiar și atunci când secțiunea de validare în secțiunea machineKey de configurare ASP.NET nu este configurat pentru validare de semnătură HMAC.
aspnet:UseLegacyEncryption |
Descrierea |
---|---|
False (implicit) |
Această setare configurează ASP.NET pentru a efectua în plus HMAC semnătură validare când ASP.NET este configurat să utilizeze criptarea. Acest lucru se întâmplă chiar dacă validare în machineKey nu este configurat pentru a vă conecta utilizând o cheie HMAC. |
Adevărate |
Această setare configurează ASP.NET nu se efectuează HMAC semnătură validare atunci când este configurat să utilizeze criptarea și nu HMAC semnarea prin validarea în machineKey. Notă Această setare poate permite un client rău intenționat pentru a decripta, crea sau altfel manipuleze cu datele criptate. |
Pentru a configura această setare, adăugați următoarea configurație în fișierul web.config computerul sau aplicație:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>
Descrierea aspnet:UseLegacyMachineKeyEncryption appSetting
Această setare de aplicație specifică dacă criptarea prin clasa System.Web.Security.MachineKey în plus va efectua validare cu o cheie HMAC chiar și atunci când argumentul MachineKeyProtection furnizată nu specifică care validare efectuate.
aspnet:UseLegacyMachineKeyEncryption |
Descrierea |
---|---|
False (implicit) |
Această setare configurează ASP.NET pentru a efectua în plus HMAC semnătură de validare prin clasa MachineKey când ASP.NET este configurat să utilizeze criptarea. Acest lucru se întâmplă chiar dacă argumentul MachineKeyProtection furnizată nu specifică efectuată de validare. |
Adevărate |
Această setare configurează ASP.NET nu se efectuează HMAC semnătură de validare prin clasa MachineKey atunci când este configurat să utilizeze criptarea și nu HMAC semnarea prin argumentul MachineKeyProtection furnizată. Notă Această setare poate permite un client rău intenționat pentru a decripta, crea sau altfel manipuleze cu datele criptate. |
Pentru a configura această setare, adăugați următoarea configurație în fișierul web.config computerul sau aplicație:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>
Descrierea aspnet:ScriptResourceAllowNonJsFiles appSetting
Această setare de aplicație specifică dacă rutina ScriptResource.axd în ASP.NET va servi non-JavaScript fişiere (extensia .js). ScriptResource.axd este o rutină de tratare ASP.NET care returnează fișierele sursă de JavaScript AJAX componente într-o pagină Web ASP.NET.
aspnet:ScriptResourceAllowNonJsFiles |
Descrierea |
---|---|
False (implicit) |
Această setare configurează ASP.NET pentru a servi numai fișierele statice care au extensia .js (JavaScript) prin rutina de tratare ScriptResource.axd. |
Adevărate |
Această setare configurează ASP.NET pentru a servi orice fișier statică că aplicația ASP.NET are acces prin rutina de tratare ScriptResource.axd. Notă Această setare permite orice fișier în aplicația pentru a fi servit prin rutina de tratare ASP.NET. Dacă aceste fișierele conține date sensibile sau confidențiale, apoi această setare poate potențial pentru pierderi de informații sensibile la un client. |
Pentru a configura această setare, adăugați următoarea configurație în fișierul web.config computerul sau aplicație:
<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>
Referințe
Pentru mai multe informații despre secțiunea MachineKey, vizitați următorul site Web Microsoft:
http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxPentru mai multe informații despre clasa System.Web.Security.MachineKey , vizitați următorul site Web Microsoft:
http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxPentru mai multe informații despre cum se utilizează setările de aplicație (appSettings), faceți clic pe următoarele numere de articol pentru a vedea articolele în baza de cunoștințe Microsoft:
Cum 815786 stocarea și regăsirea particularizate informații dintr-un fișier de configurare a aplicației utilizând Visual C# 313405 stocarea și regăsirea particularizate informații dintr-un fișier de configurare a aplicației utilizând Visual Basic .NET sau Visual Basic 2005Pentru mai multe informații despre configurația ASP.Net, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
307626 INFO: ASP.NET configurare prezentare generală