Tóm tắt
Bản Cập Nhật bảo mật được mô tả trong bản tin bảo mật Microsoft MS10-070 thực hiện thay đổi cơ chế mã hoá mặc định trong ASP.NET để thực hiện xác nhận (ký) ngoài mã hoá. Bài viết này mô tả cấu hình tuỳ chọn để trở lại chế độ hợp lệ để mã hoá trong ASP.NET.For thêm thông tin về bản Cập Nhật bảo mật này, hãy truy cập trang web sau đây:
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
Thông tin Bổ sung
ASP.NET cho phép người dùng tùy chọn mã hóa hoặc xác nhận dữ liệu qua cấu hình trong phần MachineKey. Bản Cập Nhật bảo mật được xử lý bảo mật Cập Nhật MS10-070 thay đổi hành vi mặc định mật mã hoá trong ASP.NET để thực hiện xác thực ngoài mã hoá ngay chỉ mã hóa được yêu cầu. Sau khi bạn cài đặt bản Cập Nhật bảo mật được mô tả trong bản tin bảo mật MS10-070, các thao tác được thực hiện khi mã hóa được thiết lập cho ASP.NET:
-
Trong mã hóa dữ liệu, một chữ ký HMAC được tạo cho dữ liệu được mã hoá và được gắn vào đó.
-
Trong quá trình giải mã dữ liệu, HMAC chữ được xác thực trước khi dữ liệu được giải mã.
Các khoá sau trong ASP.NET ứng dụng cài đặt (appSettings) kiểm soát chế độ ký in mã hoá.
|
Phím |
Loại |
Giá trị mặc định |
Phiên bản được hỗ trợ on.NET |
|---|---|---|---|
|
aspnet:UseLegacyEncryption |
Boolean |
Giả |
Microsoft .NET Framework 2.0 Service Pack 1Microsoft .NET Framework 2.0 dịch vụ gói 2Microsoft .NET Framework 3.5Microsoft .NET Framework 3.5 Dịch vụ gói 1Microsoft .NET Framework 4.0 |
|
aspnet:UseLegacyMachineKeyEncryption |
Boolean |
Giả |
Microsoft .NET Framework 4.0 |
|
aspnet:ScriptResourceAllowNonJsFiles |
Boolean |
Giả |
Microsoft .NET Framework 3.5 Service Pack 1Microsoft .NET Framework 4.0 |
Mô tả aspnet:UseLegacyEncryption appSetting
Cài đặt ứng dụng này chỉ định mã hoá ngoài ra thực hiện xác thực bằng khóa HMAC ngay cả khi phần xác nhận trong phần machineKey ASP.NET cấu hình không được cấu hình để HMAC chữ ký xác nhận.
|
aspnet:UseLegacyEncryption |
Mô tả |
|---|---|
|
Sai (mặc định) |
Thiết đặt này cấu hình ASP.NET thêm thực hiện HMAC chữ ký xác nhận khi ASP.NET được cấu hình để sử dụng mã hoá. Điều này sẽ xảy ra ngay cả khi xác thực trong machineKey không được cấu hình để đăng nhập bằng cách sử dụng một khóa HMAC. |
|
Đúng |
Thiết đặt này cấu hình ASP.NET phải thực hiện HMAC chữ ký xác nhận khi nó được cấu hình để sử dụng mã hoá và không HMAC ký qua xác nhận trong machineKey. Lưu ý Thiết đặt này có thể cho phép khách hàng nguy hiểm giải mã, giả mạo hoặc giả mạo khác được mã hoá dữ liệu. |
Cấu hình thiết đặt này, thêm hình sau vào tệp web.config máy tính hoặc ứng dụng:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings></configuration>
Mô tả aspnet:UseLegacyMachineKeyEncryption appSetting
Cài đặt ứng dụng này xác định xem mã hóa qua lớp System.Web.Security.MachineKey ngoài ra thực hiện xác thực bằng khóa HMAC ngay cả khi các tham số MachineKeyProtection cung cấp xác định rằng xác nhận được thực hiện.
|
aspnet:UseLegacyMachineKeyEncryption |
Mô tả |
|---|---|
|
Sai (mặc định) |
Thiết đặt này cấu hình ASP.NET thêm thực hiện HMAC chữ ký xác nhận qua lớp MachineKey khi ASP.NET được cấu hình để sử dụng mã hoá. Điều này sẽ xảy ra ngay cả khi tham số MachineKeyProtection cung cấp không chỉ xác thực được thực hiện. |
|
Đúng |
Thiết đặt này cấu hình ASP.NET phải thực hiện HMAC chữ ký xác nhận qua lớp MachineKey khi nó được cấu hình để sử dụng mã hoá và không HMAC ký thông qua các tham số MachineKeyProtection cung cấp. Lưu ý Thiết đặt này có thể cho phép khách hàng nguy hiểm giải mã, giả mạo hoặc giả mạo khác được mã hoá dữ liệu. |
Cấu hình thiết đặt này, thêm hình sau vào tệp web.config máy tính hoặc ứng dụng:
<configuration>... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings></configuration>
Mô tả aspnet:ScriptResourceAllowNonJsFiles appSetting
Cài đặt ứng dụng này xác định xem trình xử lý ScriptResource.axd trong ASP.NET sẽ tập tin JavaScript (JS mở rộng). ScriptResource.axd là một trình xử lý ASP.NET tệp nguồn JavaScript trở thành phần AJAX trong một trang web ASP.NET.
|
aspnet:ScriptResourceAllowNonJsFiles |
Mô tả |
|---|---|
|
Sai (mặc định) |
Thiết đặt này cấu hình ASP.NET nhằm chỉ tĩnh các tệp có phần mở rộng js (JavaScript) thông qua ScriptResource.axd xử lý. |
|
Đúng |
Cấu hình thiết đặt này ASP.NET nhằm bất kỳ tập tin tĩnh ứng dụng ASP.NET có quyền truy cập vào thông qua ScriptResource.axd xử lý. Lưu ý Thiết đặt này cho phép bất kỳ tệp nào trong ứng dụng ASP.NET của bạn được phân phối qua xử lý. Nếu bất kỳ tệp nào đó chứa dữ liệu nhạy cảm hoặc bí mật, sau đó cài đặt này có thể có khả năng rò rỉ thông tin nhạy cảm cho khách hàng. |
Cấu hình thiết đặt này, thêm hình sau vào tệp web.config máy tính hoặc ứng dụng:
<configuration>... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings></configuration>
Tham khảo
Để biết thêm thông tin về phần MachineKey, ghé thăm website sau của Microsoft:
http://msdn.microsoft.com/en-us/library/w8h3skw9.aspxĐể biết thêm thông tin về loại System.Web.Security.MachineKey , ghé thăm website sau của Microsoft:
http://msdn.microsoft.com/en-us/library/system.web.security.machinekey.aspxĐể biết thêm thông tin về cách sử dụng cài đặt ứng dụng (appSettings), bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
815786 làm thế nào để lưu trữ và truy xuất thông tin tùy chỉnh từ tệp cấu hình ứng dụng bằng cách sử dụng Visual C# 313405 làm thế nào để lưu trữ và truy xuất thông tin tùy chỉnh từ tệp cấu hình ứng dụng bằng cách sử dụng Visual Basic .NET hoặc Visual Basic 2005Để biết thêm thông tin về cấu hình ASP.Net, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
Thông tin 307626 : Tổng quan về cấu hình ASP.NET
