Kako konfigurirati zastarelih šifrovanje režim u ASP.NET

Rezime

Bezbednosna ispravka koja je opisana u biltenu o sigurnosti Microsoft MS10-070 pravi izmene u podrazumevanom šifriranje mehanizam u ASP.NET da izvršite validaciju (potpisivanje) kao dodatak za šifrovanje. Ovaj članak opisuje opcije konfiguracije da vratite zastarelih ponašanje za šifrovanje u ASP.NET.For više informacija o ovom bezbednosnu ispravku, posetite Web lokaciju sledeće:

http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx

Više informacija

ASP.NET omogućava korisnicima da opcionalno šifrovanje ili validaciju podataka kroz konfiguraciju u odeljku "MachineKey". Bezbednosnu ispravku koja je adresirana po sigurnost ažurirati promene MS10-070 zadano ponašanje za šifrovanje u ASP.NET da izvršite validaciju pored šifrovanje čak i ako se zahteva samo za šifrovanje. Kada instalirate bezbednosnu ispravku koja je opisana u biltenu o sigurnosti MS10-070, sledeće operacije se izvršavaju kada za šifrovanje je podešena za ASP.NET:

  • Tokom šifriranje podataka, potpis za HMAC se generiše za šifrovane podatke, i to je dodat.

  • Tokom dešifriranje podataka, HMAC potpis je proverena pre nego što je dešifruju podatke.

Sledeće ključeve u ASP.NET aplikacija postavke (appSettings) kontrola ponašanja potpisivanje kao dodatak za šifrovanje.

Ključ

Tip

Podrazumevanu vrednost

Podržani on.NET verzije

aspnet:UseLegacyEncryption

Boolean

FALSE

Microsoft .NET Framework 2.0 servis Pack 1Microsoft .NET Framework 2.0 servis Pack 2Microsoft .NET Framework 3.5Microsoft .NET Framework 3.5 servis Pack 1Microsoft .NET Framework 4.0

aspnet:UseLegacyMachineKeyEncryption

Boolean

FALSE

Microsoft .NET Framework 4.0

aspnet:ScriptResourceAllowNonJsFiles

Boolean

FALSE

Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0

Opis na aspnet:UseLegacyEncryption appSetting

Ova postavka aplikacije određuje da li šifrovanje dodatno nastupiće valjanosti sa ključ za HMAC čak i kada u odeljku za proveru valjanosti u odeljku machineKey ASP.NET konfiguracije nije podešeno za HMAC valjanosti potpisa.

aspnet:UseLegacyEncryption

Opis

FALSE (podrazumevano)

Ova postavka podešava ASP.NET izvršiti dodatno HMAC valjanosti potpisa kada ASP.NET je konfigurisan da koristi za šifrovanje. Do ovoga će doći čak i ako validacije u machineKey nije podešen da se prijavite koristeći ključ za HMAC.

Istina

Ova postavka podešava ASP.NET da ne izvrši proveru valjanosti potpisa HMAC kada je konfigurisan da koristi za šifrovanje i ne HMAC potpisivanje kroz validaciju u machineKey. Napomena Ova postavka može dozvoliti zlonamernog klijenta da dešifruje, falsifikuje ili u suprotnom petljaš sa šifrovane podatke.

Da biste podesili ovu postavku, dodajte sledeću konfiguraciju u datoteci web.config računar ili aplikacije:

<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration> 

Opis aspnet:UseLegacyMachineKeyEncryption appSetting

Ova aplikacija postavka određuje da li šifrovanje kroz System.Web.Security.MachineKey razreda dodatno nastupiće valjanosti sa ključ za HMAC čak i kada je obezbeđena MachineKeyProtection argument koji ne precizira Provera valjanosti nije moguće izvršiti.

aspnet:UseLegacyMachineKeyEncryption

Opis

FALSE (podrazumevano)

Ova postavka podešava ASP.NET izvršiti dodatno valjanosti potpisa HMAC kroz MachineKey razredu kada ASP.NET je konfigurisan da koristi za šifrovanje. Ovo će se dogoditi čak i ako je obezbeđena MachineKeyProtection argument ne precizira da li biti izvršena validacija.

Istina

Ova postavka podešava ASP.NET da ne izvrši valjanosti potpisa HMAC kroz MachineKey razreda, kada je konfigurisan da koristi za šifrovanje i ne HMAC potpisivanje kroz obezbeđena MachineKeyProtection argument. Napomena Ova postavka može dozvoliti zlonamernog klijenta da dešifruje, falsifikuje ili u suprotnom petljaš sa šifrovane podatke.

Da biste podesili ovu postavku, dodajte sledeću konfiguraciju u datoteci web.config računar ili aplikacije:

<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration> 

Opis aspnet:ScriptResourceAllowNonJsFiles appSetting

Ova aplikacija postavka određuje da li rukovalac ScriptResource.axd u ASP.NET poslužiće non-JavaScript datoteke (oznaka tipa datoteke .js). ScriptResource.axd je rukovalac ASP.NET koji vraća JavaScript izvorne datoteke na AJAX komponente u za ASP.NET Web stranice.

aspnet:ScriptResourceAllowNonJsFiles

Opis

FALSE (podrazumevano)

Ova postavka podešava ASP.NET služiti samo statički datoteke koje imaju oznaku tipa .js (JavaScript) kroz rukovalac ScriptResource.axd.

Istina

Ova postavka podešava ASP.NET služiti sve statičke datoteke da ASP.NET aplikacija ima pristup kroz rukovalac ScriptResource.axd. Napomena Ova postavka omogućava bilo koju datoteku unutar ASP.NET aplikacije biti zadovoljena kroz rukovalac. Ako takve datoteke sadrži osetljive ili poverljive podatke, onda ova postavka može potencijalno da procuri poverljive informacije za klijenta.

Da biste podesili ovu postavku, dodajte sledeću konfiguraciju u datoteci web.config računar ili aplikacije:

<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration> 

Reference

Za više informacija o MachineKey sekciju, posetite sledeće Microsoft Web lokacije:

http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxZa više informacija o System.Web.Security.MachineKey klasa, posetite sledeće Microsoft Web lokacije:

http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxZa više informacija o tome kako da koristite postavke aplikacije (appSettings), kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

Kako 815786 za skladištenje i preuzimanje prilagođene informacije iz datoteke za konfiguraciju aplikacije pomoću Visual C# 313405 kako za skladištenje i preuzimanje prilagođene informacije iz datoteke za konfiguraciju aplikacije pomoću Visual Basic .NET ili Visual Basic 2005 godineZa više informacija o ASP.Net konfiguraciju, kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

307626 INFO: ASP.NET konfiguracije pregled

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Izgleda da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×