Загальні відомості
Оновлення безпеки, як описано в бюлетені з безпеки корпорації Майкрософт, MS10-070 вносить зміни до механізм шифрування за промовчанням у ASP.NET для виконання перевірки, (вхід), окрім шифрування. У цій статті описано, параметри конфігурації, щоб повернутися до попередніх версій поведінка для шифрування в ASP.NET.For, щоб отримати додаткові відомості про це оновлення безпеки, відвідайте веб-сайт:
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
Додаткові відомості
За потреби шифрування або перевірки даних конфігурації в розділі MachineKey користувачі ASP.NET. Оновлення безпеки, порушені безпеки оновлення MS10-070 зміни, змінює поведінку за промовчанням шифрування у ASP.NET для виконання перевірки, окрім шифрування, навіть, якщо тільки в шифрування, який викликається. Після інсталяції поновлення безпеки, як описано в бюлетені з безпеки MS10-070, такі операції виконуються під час шифрування настроєно ASP.NET:
-
Шифрування даних на HMAC підпису створюється для зашифрованих даних і додається до нього.
-
Під час шифрування даних підпису HMAC перевірити, перш ніж розшифрувати дані.
Наведені нижче розділи ASP.NET застосування настройок (appSettings) для керування поведінкою цифрового підпису, крім того, для шифрування.
|
Клавіша |
Тип |
Значення за промовчанням |
Підтримувані on.NET версії. |
|---|---|---|---|
|
aspnet:UseLegacyEncryption |
Логічне значення |
Помилкове |
Microsoft .NET Framework 2.0 пакета оновлень 1Microsoft .NET Framework 2.0 пакета оновлень 2Microsoft .NET Framework 3.5Microsoft .NET Framework 3.5 пакет оновлень 1Microsoft .NET Framework 4.0 |
|
aspnet:UseLegacyMachineKeyEncryption |
Логічне значення |
Помилкове |
Microsoft .NET Framework 4.0 |
|
aspnet:ScriptResourceAllowNonJsFiles |
Логічне значення |
Помилкове |
Microsoft .NET Framework 3.5 пакета оновлень 1Microsoft .NET Framework 4.0 |
Опис aspnet:UseLegacyEncryption-appSetting
Цей параметр для застосування визначає, чи шифрування додатково виконає перевірку з ключем HMAC навіть тоді, коли у розділі перевірки в розділі "machineKey" Конфігурація ASP.NET не настроєно для перевірки підпису в HMAC.
|
aspnet:UseLegacyEncryption |
Опис |
|---|---|
|
Помилково (за промовчанням) |
Цю настройку, ASP.NET, крім того, виконати HMAC-перевірка підпису, під час настройки ASP.NET шифрування. Це трапляється, навіть, якщо у machineKey не настроєно для входу за допомогою ключ для HMAC. |
|
Справжнє |
Цю настройку, ASP.NET, не для того, щоб виконати HMAC-перевірка підпису, під час використання шифрування та не HMAC, підписування SMB через у machineKey. Примітка. Цей параметр дозволяє зловмисних клієнта розшифрувати налагодити або іншим чином змінювати зашифровані дані. |
Щоб настроїти цей параметр, додайте наступні конфігурації, у файлі web. config комп'ютера або програм:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>
Опис aspnet:UseLegacyMachineKeyEncryption appSetting
Цей параметр для застосування визначає, чи шифрування, через System.Web.Security.MachineKey клас додатково виконає перевірку з ключем HMAC навіть після того, як аргумент MachineKeyProtection умови не вказано виконати перевірку.
|
aspnet:UseLegacyMachineKeyEncryption |
Опис |
|---|---|
|
Помилково (за промовчанням) |
Цю настройку, ASP.NET, крім того, виконати перевірка підпису HMAC, через MachineKey клас під час настройки ASP.NET шифрування. Це трапляється, навіть, якщо надається MachineKeyProtection аргумент не вказано, виконати перевірку. |
|
Справжнє |
Цю настройку, ASP.NET, не для того, щоб виконати перевірка підпису HMAC, через клас MachineKey , під час використання шифрування та не HMAC, підписування SMB через наведені MachineKeyProtection аргумент. Примітка. Цей параметр дозволяє зловмисних клієнта розшифрувати налагодити або іншим чином змінювати зашифровані дані. |
Щоб настроїти цей параметр, додайте наступні конфігурації, у файлі web. config комп'ютера або програм:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>
Опис aspnet:ScriptResourceAllowNonJsFiles appSetting
Цей параметр для застосування визначає, чи ScriptResource.axd обробник в ASP.NET, будуть служити-JavaScript-файли (.js розширення). ScriptResource.axd – це обробник ASP.NET, який повертає JavaScript вихідних файлів AJAX компоненти на ASP.NET на веб-сторінці.
|
aspnet:ScriptResourceAllowNonJsFiles |
Опис |
|---|---|
|
Помилково (за промовчанням) |
Цю настройку, ASP.NET виконувати лише статичні файли, які мають розширення .js (JavaScript) – обробник ScriptResource.axd. |
|
Справжнє |
Цю настройку, ASP.NET в будь-яких статичних файлів, до застосунку ASP.NET, має доступ через ScriptResource.axd обробник. Примітка. Цей параметр дає змогу в будь-який файл у вашому застосунку ASP.NET подавати – обробник. Якщо такі файли небажані або секретні дані, виберіть цей параметр може витік конфіденційної інформації з клієнтом. |
Щоб настроїти цей параметр, додайте наступні конфігурації, у файлі web. config комп'ютера або програм:
<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>
Посилання
Щоб отримати додаткові відомості про MachineKey розділ відвідайте веб-сайт корпорації Майкрософт:
http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxЩоб отримати додаткові відомості про System.Web.Security.MachineKey клас відвідайте веб-сайт корпорації Майкрософт:
http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxЩоб отримати додаткові відомості про те, як використовувати параметри для застосунків (appSettings) клацніть номер статті в базі знань Microsoft Knowledge Base:
Як 815786 , зберігати та отримувати дані з файлу конфігурації застосунку, за допомогою Visual C# 313405 , як зберегти та відновити дані з файлу конфігурації застосунку, за допомогою Visual Basic .NET або Visual Basic 2005Щоб отримати додаткові відомості про конфігурацію для ASP.Net клацніть номер статті в базі знань Microsoft Knowledge Base:
307626 інформація: ASP.NET конфігурації огляд
