我仍然無法弄清以下哪些與Oracle填充安全問題有關。沒有。一般來說,我想知道改變機器鍵的簡單方法。沒有。 2分與安全問題有關。Oracle填充安全相關查詢
我會很高興知道,如果有人可以用簡單的例子回答。請不要將我指向ScotGu博客,在閱讀他的博客和推薦之後,我不想再次訪問他的博客,並且很驚訝他知道他是如何領導asp.net團隊的。
我會盡力回答您的問題從什麼I have learned有關問題爲止。
在數據庫用戶口令並不與應用相關的機器密鑰。默認情況下,ASP.NET工作進程會在每次重新啓動應用程序時生成新的計算機密鑰。
(因此,如果DB密碼是依賴於機器的關鍵,他們將成爲每隔幾天無效。)
關於下載Web.config,我們真的不知道。有些人認爲它依賴於另一個安全漏洞。如果你使用MVC(或Web表單沒有這些),它是最安全的,如果你禁用的.axd請求。 (處理*.axd與HttpForbiddenHandler)
例如:
<httpHandlers>
...
<remove verb="*" path="*.axd"/>
<add validate="false" verb="*" path="*.axd" type="System.Web.HttpForbiddenHandler, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />
</httpHandlers>
還是做同樣的system.webServer節,如果你使用的是IIS 7
哎呀禁用AXD對生產asp.net網站對大多數人通常不是一種選擇,ScriptManager的,第三方控件都經常使用WebResource.axd的 – 2010-09-23 00:06:02
@克里斯 - 正如我所說的,MVC不使用它,所以它是MVC頁面的有效選項。 – Venemo 2010-09-23 00:10:53
1.由於我在web.config中使用靜態機器密鑰,並且如果我將加密的密碼存儲在數據庫中,Asp.net成員資格提供程序將使用該密鑰來加密密碼。因此,改變機器鍵並不像看起來那麼容易。如果您使用自動生成的密鑰,U無法加密密碼。 – kumar 2010-09-23 13:48:37
你爲什麼驚訝的是他領先ASP .NET團隊?侮辱他與你的問題無關,而且這在SO上也不太合適。不管怎樣,在他的博客鏈接指向的安全修補程序:http://weblogs.asp.net/scottgu/archive/2010/09/28/asp-net-security-update-now-available.aspx – Andy 2010-09-28 21:12:50