VIKEnut'
VIKEnut'
RegistrarseIniciar sesión

Es

RuPt
 
asp.netencryptionviewstatebase64machinekey

problema de cifrado de asp.net viewstate

Estoy intentando activar el cifrado de viewstateSiempr como medida de seguridad para mi sitio web ASP.NET 3.5 alojado en IIS6. Tenemos viewstate desactivado pero todavía vemos algunos "controlstate" en esta cadena. En un entorno de prueba, simplemente puedo configurar lo siguiente en web.config y ya no puedo decodificar base64 el estado de vista en semi-texto simple:

<pages enableViewState="false" enableViewStateMac="true" viewStateEncryptionMode="Always">

Incluso he agregado lo siguiente (generado pormachine key generater) a machine.config y aún encripta bien el estado de vista en mi servidor de prueba:

<machineKey validationKey="002..." decryptionKey="D90E..." validation="SHA1" decryption="AES" />

Mi entorno que no es de prueba no parece captar los cambios anteriores, ya que siempre puedo decodificar el estado de vista en texto plano con la configuración anterior. Siempre estoy reiniciado después de hacer cualquier cambio.

Alguna información sobre mi servidor web que no es de prueba:

Web Farm / Load Balanced (pero solo un servidor está listo para probar en este momento)Sql Estado de sesión (inicialmente se necesitó machinekey en machine.config para configurar esto) machine.config: implementación minorista = "true"

¿Alguien puede sugerir dónde buscar configuraciones adicionales que puedan interferir con el cifrado asp.net viewstate?

EDIT: ahora en mi servidor de prueba iis no puedo deshacer la configuración de viewStateEncryptionMode, ya que está encriptando el estado de la vista, incluso cuando lo configuro en "Nunca" y ninguno de mis otros sitios web parece tener esta configuración. ¿Dónde puedo mirar para ver dónde se anula esta propiedad? ¿Hay alguna memoria caché donde se almacena esta configuración que deba borrarse, además de lo que se haría cuando restablezco / detengo el servicio www / touch machine.config?

EDIT FINAL: Después de días de estudiar los archivos de configuración, me di por vencido e implementé esto a través del código. Ya tenía un módulo de seguridad que se adjuntaba a eventos de página, así que en Page_Load agregué: Page.RegisterRequiresViewStateEncryption ();

Realmente me encantaría saber qué impedía que esta configuración se recogiera en IIS6 de inmediato. Cuando ejecuto cassini localmente si configuro viewStateEncryptionMode en "Siempre" a través del nodo de páginas, inmediatamente lo vería codificar el estado de vista y mostrar el campo oculto adicional con id = "__ VIEWSTATEENCRYPTED". Cuando lo configuro en "Nunca", inmediatamente vería que se apaga el cifrado. Si hago el mismo cambio exacto en el sitio web en mi sitio web alojado IIS6, no tendría ningún efecto inmediato, pero si permito que la configuración permanezca allí, eventualmente se establecerá. Pararía / iniciaría el servicio www, restablecería iis, borraría la caché temporal de ASPNET, pero no sé qué más intentar. ¡Espero que esta publicación pueda ROTAR por un tiempo y alguien en el futuro verá el mismo comportamiento que yo experimenté y podemos resolverlo más!

Deja tu comentario

Respuestas a la pregunta(3)

Su respuesta a la pregunta

Preguntas populares

0 la respuesta

No se pueden recuperar archivos de send_from_directory () en el matraz

0 la respuesta

¿Cómo dividir una ruta de archivo para obtener el nombre del archivo? [duplicar]

0 la respuesta

¿Cómo hacer que la barra de progreso funcione mientras navega por el navegador web?

0 la respuesta

En Pandas, ¿cómo convierto una cadena de cadenas de fecha en objetos de fecha y hora y los coloco en un DataFrame?

0 la respuesta

¿Cómo agregar ruta con módulo a python?