Súhrn
Aktualizácie zabezpečenia, ktorá je popísaná v Microsoft security bulletin MS10-070 zmení predvolené šifrovanie mechanizmus ASP.NET vykonať overovanie (podpisovanie) Okrem šifrovania. Tento článok popisuje možnosti konfigurácie obnoviť staršie správanie pre šifrovanie ASP.NET.For ďalšie informácie o tejto aktualizácii zabezpečenia, navštívte nasledujúcu webovú lokalitu:
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
Ďalšie informácie
ASP.NET umožňuje používateľom môžete šifrovať alebo overovanie údajov prostredníctvom konfigurácie v MachineKey. Aktualizácia Oprava zabezpečenia aktualizácia MS10-070 zmeny predvolené správanie šifrovanie ASP.net vykonať overenie okrem šifrovania aj v prípade, že sa vyžaduje iba šifrovania. Po nainštalovaní aktualizácie zabezpečenia, ktorá je popísaná v security bulletin MS10-070, tieto operácie sa vykonajú pri nastavení šifrovania pre ASP.NET:
-
Počas šifrovania údajov HMAC podpis vygenerovaný šifrovaných údajov a je pripojený.
-
Počas dešifrovania údajov je HMAC podpis overiť skôr, než je dešifrovať údaje.
V nasledujúcich kľúčoch v ASP.NET aplikácií (appSettings) nastavenie správania prihlasovanie okrem šifrovania.
|
Kľúč |
Typ |
Predvolená hodnota |
Podporované platformy.NET verzie |
|---|---|---|---|
|
aspnet:UseLegacyEncryption |
Boolovská hodnota |
Nesprávne |
Microsoft .NET Framework 2.0 Service Pack 1Microsoft .NET Framework 2.0 Service Pack 2Microsoft .NET Framework 3.5Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
|
aspnet:UseLegacyMachineKeyEncryption |
Boolovská hodnota |
Nesprávne |
Microsoft .NET Framework 4.0 |
|
aspnet:ScriptResourceAllowNonJsFiles |
Boolovská hodnota |
Nesprávne |
Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
Popis aspnet:UseLegacyEncryption appSetting
Toto nastavenie aplikácie určuje, či šifrovanie tiež vykoná overenie HMAC kľúčom aj vtedy, ak časti overenia v machineKey Konfigurácia ASP.NET nie je nakonfigurovaný na overenie podpisu HMAC.
|
aspnet:UseLegacyEncryption |
Popis |
|---|---|
|
Nesprávne (predvolené) |
Toto nastavenie nastaví ASP.NET tiež vykonať overenie podpisu HMAC ASP.NET nastavený šifrovanie. Dôjde aj v prípade, že overenie machineKey nie je nakonfigurovaný na prihlásenie pomocou HMAC kódu. |
|
Skutočný |
Toto nastavenie nastaví ASP.NET nevykonal HMAC overenie podpisu, keď je nakonfigurovaný na používanie šifrovania a nie HMAC prihlásenie prostredníctvom overovania v machineKey. Poznámka: Toto nastavenie môže umožniť škodlivý klienta dešifrovať, vytvoriť alebo inak zasahovať do šifrované údaje. |
Konfigurovať toto nastavenie, pridajte nasledujúce konfigurácie v súbore web.config počítača alebo aplikácie:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>
Popis aspnet:UseLegacyMachineKeyEncryption appSetting
Toto nastavenie aplikácie určuje, či šifrovania prostredníctvom System.Web.Security.MachineKey triedy okrem vykoná overenie HMAC kľúčom aj v prípade, že uvedené MachineKeyProtection argument nešpecifikuje overenie vykonať.
|
aspnet:UseLegacyMachineKeyEncryption |
Popis |
|---|---|
|
Nesprávne (predvolené) |
Toto nastavenie nastaví ASP.NET tiež vykonať overenie podpisu HMAC prostredníctvom MachineKey triedy ASP.NET nastavený šifrovanie. Dôjde aj v prípade, že uvedené MachineKeyProtection argument nešpecifikuje vykonať overenie. |
|
Skutočný |
Toto nastavenie nastaví ASP.NET nevykonal HMAC overenie podpisu prostredníctvom MachineKey triedy, keď je nakonfigurovaný na používanie šifrovania a nie HMAC prihlasovanie prostredníctvom poskytnutého MachineKeyProtection argument. Poznámka: Toto nastavenie môže umožniť škodlivý klienta dešifrovať, vytvoriť alebo inak zasahovať do šifrované údaje. |
Konfigurovať toto nastavenie, pridajte nasledujúce konfigurácie v súbore web.config počítača alebo aplikácie:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>
Popis aspnet:ScriptResourceAllowNonJsFiles appSetting
Toto nastavenie aplikácie určuje, či obslužný program ScriptResource.axd ASP.net slúžiť-JavaScript súbory (.js extension). ScriptResource.axd je obsluhy ASP.NET, ktorý vráti JavaScript zdrojové súbory súčasti webovej stránky ASP.NET AJAX.
|
aspnet:ScriptResourceAllowNonJsFiles |
Popis |
|---|---|
|
Nesprávne (predvolené) |
Toto nastavenie nastaví ASP.NET len pre statické súbory s príponou .js (JavaScript) prostredníctvom popisovača ScriptResource.axd. |
|
Skutočný |
Toto nastavenie nastaví ASP.NET pre všetky statického súboru, aplikácie ASP.NET má k dispozícii prostredníctvom popisovača ScriptResource.axd. Poznámka: Toto nastavenie umožňuje ľubovoľný súbor v aplikácii ASP.NET doručiť prostredníctvom popisovača. Ak tieto súbory obsahuje citlivé alebo dôverné údaje, potom toto nastavenie môže únik citlivé informácie klienta. |
Konfigurovať toto nastavenie, pridajte nasledujúce konfigurácie v súbore web.config počítača alebo aplikácie:
<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>
Odkazy
Ďalšie informácie o MachineKey nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:
http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxĎalšie informácie o System.Web.Security.MachineKey trieda, nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:
http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxĎalšie informácie o spôsobe používania nastavení aplikácie (appSettings), po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
815786 ako ukladať a načítať informácie z konfiguračný súbor aplikácie pomocou Visual C# 313405 ukladať a načítať informácie z konfiguračný súbor aplikácie pomocou Visual Basic .NET alebo Visual Basic 2005Ďalšie informácie o konfigurácii ASP.Net získate po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
307626 INFO: ASP.NET konfigurácie prehľad
