Rezime
Bezbednosna ispravka koja je opisana u biltenu o sigurnosti Microsoft MS10-070 pravi izmene u podrazumevanom šifriranje mehanizam u ASP.NET da izvršite validaciju (potpisivanje) kao dodatak za šifrovanje. Ovaj članak opisuje opcije konfiguracije da vratite zastarelih ponašanje za šifrovanje u ASP.NET.For više informacija o ovom bezbednosnu ispravku, posetite Web lokaciju sledeće:
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
Više informacija
ASP.NET omogućava korisnicima da opcionalno šifrovanje ili validaciju podataka kroz konfiguraciju u odeljku "MachineKey". Bezbednosnu ispravku koja je adresirana po sigurnost ažurirati promene MS10-070 zadano ponašanje za šifrovanje u ASP.NET da izvršite validaciju pored šifrovanje čak i ako se zahteva samo za šifrovanje. Kada instalirate bezbednosnu ispravku koja je opisana u biltenu o sigurnosti MS10-070, sledeće operacije se izvršavaju kada za šifrovanje je podešena za ASP.NET:
-
Tokom šifriranje podataka, potpis za HMAC se generiše za šifrovane podatke, i to je dodat.
-
Tokom dešifriranje podataka, HMAC potpis je proverena pre nego što je dešifruju podatke.
Sledeće ključeve u ASP.NET aplikacija postavke (appSettings) kontrola ponašanja potpisivanje kao dodatak za šifrovanje.
Ključ |
Tip |
Podrazumevanu vrednost |
Podržani on.NET verzije |
---|---|---|---|
aspnet:UseLegacyEncryption |
Boolean |
FALSE |
Microsoft .NET Framework 2.0 servis Pack 1Microsoft .NET Framework 2.0 servis Pack 2Microsoft .NET Framework 3.5Microsoft .NET Framework 3.5 servis Pack 1Microsoft .NET Framework 4.0 |
aspnet:UseLegacyMachineKeyEncryption |
Boolean |
FALSE |
Microsoft .NET Framework 4.0 |
aspnet:ScriptResourceAllowNonJsFiles |
Boolean |
FALSE |
Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
Opis na aspnet:UseLegacyEncryption appSetting
Ova postavka aplikacije određuje da li šifrovanje dodatno nastupiće valjanosti sa ključ za HMAC čak i kada u odeljku za proveru valjanosti u odeljku machineKey ASP.NET konfiguracije nije podešeno za HMAC valjanosti potpisa.
aspnet:UseLegacyEncryption |
Opis |
---|---|
FALSE (podrazumevano) |
Ova postavka podešava ASP.NET izvršiti dodatno HMAC valjanosti potpisa kada ASP.NET je konfigurisan da koristi za šifrovanje. Do ovoga će doći čak i ako validacije u machineKey nije podešen da se prijavite koristeći ključ za HMAC. |
Istina |
Ova postavka podešava ASP.NET da ne izvrši proveru valjanosti potpisa HMAC kada je konfigurisan da koristi za šifrovanje i ne HMAC potpisivanje kroz validaciju u machineKey. Napomena Ova postavka može dozvoliti zlonamernog klijenta da dešifruje, falsifikuje ili u suprotnom petljaš sa šifrovane podatke. |
Da biste podesili ovu postavku, dodajte sledeću konfiguraciju u datoteci web.config računar ili aplikacije:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>
Opis aspnet:UseLegacyMachineKeyEncryption appSetting
Ova aplikacija postavka određuje da li šifrovanje kroz System.Web.Security.MachineKey razreda dodatno nastupiće valjanosti sa ključ za HMAC čak i kada je obezbeđena MachineKeyProtection argument koji ne precizira Provera valjanosti nije moguće izvršiti.
aspnet:UseLegacyMachineKeyEncryption |
Opis |
---|---|
FALSE (podrazumevano) |
Ova postavka podešava ASP.NET izvršiti dodatno valjanosti potpisa HMAC kroz MachineKey razredu kada ASP.NET je konfigurisan da koristi za šifrovanje. Ovo će se dogoditi čak i ako je obezbeđena MachineKeyProtection argument ne precizira da li biti izvršena validacija. |
Istina |
Ova postavka podešava ASP.NET da ne izvrši valjanosti potpisa HMAC kroz MachineKey razreda, kada je konfigurisan da koristi za šifrovanje i ne HMAC potpisivanje kroz obezbeđena MachineKeyProtection argument. Napomena Ova postavka može dozvoliti zlonamernog klijenta da dešifruje, falsifikuje ili u suprotnom petljaš sa šifrovane podatke. |
Da biste podesili ovu postavku, dodajte sledeću konfiguraciju u datoteci web.config računar ili aplikacije:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>
Opis aspnet:ScriptResourceAllowNonJsFiles appSetting
Ova aplikacija postavka određuje da li rukovalac ScriptResource.axd u ASP.NET poslužiće non-JavaScript datoteke (oznaka tipa datoteke .js). ScriptResource.axd je rukovalac ASP.NET koji vraća JavaScript izvorne datoteke na AJAX komponente u za ASP.NET Web stranice.
aspnet:ScriptResourceAllowNonJsFiles |
Opis |
---|---|
FALSE (podrazumevano) |
Ova postavka podešava ASP.NET služiti samo statički datoteke koje imaju oznaku tipa .js (JavaScript) kroz rukovalac ScriptResource.axd. |
Istina |
Ova postavka podešava ASP.NET služiti sve statičke datoteke da ASP.NET aplikacija ima pristup kroz rukovalac ScriptResource.axd. Napomena Ova postavka omogućava bilo koju datoteku unutar ASP.NET aplikacije biti zadovoljena kroz rukovalac. Ako takve datoteke sadrži osetljive ili poverljive podatke, onda ova postavka može potencijalno da procuri poverljive informacije za klijenta. |
Da biste podesili ovu postavku, dodajte sledeću konfiguraciju u datoteci web.config računar ili aplikacije:
<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>
Reference
Za više informacija o MachineKey sekciju, posetite sledeće Microsoft Web lokacije:
http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxZa više informacija o System.Web.Security.MachineKey klasa, posetite sledeće Microsoft Web lokacije:
http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxZa više informacija o tome kako da koristite postavke aplikacije (appSettings), kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:
Kako 815786 za skladištenje i preuzimanje prilagođene informacije iz datoteke za konfiguraciju aplikacije pomoću Visual C# 313405 kako za skladištenje i preuzimanje prilagođene informacije iz datoteke za konfiguraciju aplikacije pomoću Visual Basic .NET ili Visual Basic 2005 godineZa više informacija o ASP.Net konfiguraciju, kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:
307626 INFO: ASP.NET konfiguracije pregled