个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
25
4
我们的应用有 <machineKey>设置在 web.config :
<machineKey validation="HMACSHA256" validationKey="some-validationkey" decryption="AES" decryptionKey="some-decryption-key" />
它用于加密/解密 ASP.NET 中内置的许多内容,包括:
如果机器 key 被泄露,则意味着攻击者可以解密所有这些东西。 security best-practice is to rotate your keys often (或者至少当您认为它可能受到损害时)。这需要能够对每段加密数据进行版本控制,以便在需要时进行轮换。
如果您更改机器 key 并重新部署您的网站,您现有的拥有加密数据(例如 cookie、表单字段)的用户很可能会在他们的下一个请求时触发异常,因为数据无法再被解密。例如,AnonymousIdentificationModule会抛出 CryptographicException: Error occurred during a cryptographic operation. .如果 AnonymousIdentificationModule 是完全有意义的没有版本加密/解密的能力。
我正在考虑使用的一种方法是实现自定义 HashAlgorithm和 SymmetricAlgorithm内置版本控制以委托(delegate)给真正的算法。例如:
用 CryptoConfig.AddAlgorithm() 注册它们:
CryptoConfig.AddAlgorithm(typeof(MyCustomHashAlgorithm), "MyCustomHashAlgorithm");
CryptoConfig.AddAlgorithm(typeof(MyCustomSymmetricAlgorithm), "MyCustomSymmetricAlgorithm");
更改 <machineKey>使用自定义算法:
<machineKey validation="alg:MyCustomHashAlgorithm" validationKey="some-validationkey" decryption="alg:MyCustom" decryptionKey="some-decryption-key" />
但是,我担心实现 HashAlgorithm和 SymmetricAlgorithm .我不想不小心引入安全漏洞,这是一个很容易做到这一点的地方。此外,这感觉像是一个巨大的 hack,因为它确实属于使用算法的地方(我认为)。
另一种方法是重新实现所有使用机器 key 但添加版本控制的功能。无法更改现有的 .NET 类。
您如何在生产中处理这个问题?我知道 StackOverflow 是用 ASP.NET MVC 编写的,那么他们如何处理它?</p>
旁注:出于安全原因,我们实际上不存储 <machineKey>直接在 web.config 中(它在源代码控制之外)。
最佳答案
一个想法是从您的州政府、信用合作社、IRS 等那里吸取教训,并安排停机时间。在应用程序关闭时更改 key 。可能只有午夜五分钟。
现在,您无需编写自定义加密逻辑,而是编写逻辑来通知用户即将到来的停机时间并优雅地结束他们的 session ——这是一项更安全的任务。
关于c# - 机器 key 如何安全轮换?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41597395/
25
4
0
我被难住了。如果我对文件路径进行硬编码,则此脚本在我的 Windows 机器上的 Eclipse 中运行良好。如果我尝试接受参数并在我的边缘节点(一个 linux 机器)上运行它,它不会抛出任何特定的
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 关闭 8 年前。 这个问题似乎不是关于 a specific programming problem,
我们最近将我们的基础架构从 Solaris(Oracle/Sun Java) 迁移到 AIX(IBM Java)。 我们的客户将使用我们共享的算法(AES)和 key 上传加密文件,一旦加密文件放置在
我想编写一个程序(java),它接受一个文件作为输入,对其进行加密(使用aes128)并通过ftp发送该加密文件,接收者接收它并使用 key 进行解密。我是初学者,有什么帮助可以做到这一点吗?非常感谢
我正在尝试将一些为 1c2 机器 (thumb) 编译的 DLL 导入 WinMobile 6.1 C# 智能设备项目。 然而,当我尝试将它们导入我的 C# 项目时,我得到“无法添加对...的引用”,
我正在寻找 FPGA + 机器。 它应该是入门级定价(例如不超过 200 美元)。 编辑:我想制作一个 ASM 图表并将 FPGA 编程为我在图表中指定的行为 最佳答案 你看过Arduino ? 关于
这是我想完成的: Write a program that stimulates a bean machine Your program should prompt the user to enter
我尝试使用以下命令在 Windows 10 上使用 hyperv 创建一台机器: docker-machine create --driver hyperv default 但它给了我: This m
我有个问题 我的问题是我有一个将 mapred.map.tasks 配置为10的作业(抓取工具),这意味着我的工作将一次创建10个映射器。但是我的集群将 mapred.tasktracker.map.
我正在尝试使用命令重新启动 Docker sudo docker restart a7f8ce75f51f 但我收到以下错误 Error response from daemon: Cannot re
在新机器上引导 Eclipse 是一个非常耗时的过程,您最终会问自己是否真的需要每个插件。但这些都很方便,并且有助于养成一致的习惯。 Eclipse 引导问题包括: 解释/记录需要发生的事情 粘贴正确
我们希望建立一个 Docker 开发节点,我们团队中的任何人都可以将东西部署到其中。 我使用 SSH 创建了一个新的 Docker 机器,如下所示: docker-machine create \
如果可能的话,我想使用 java.util.logging 来做到这一点,有什么想法吗?谢谢。 最佳答案 您可以尝试一下SLF4J . Simple Logging Facade for Java (
当 vagrant up 时,我们的 vagrant box 需要大约 1 小时才能提供第一次运行,在配置过程的最后,我想将盒子打包到本地文件夹中的图像,以便下次需要重建时将其用作基础盒子。我正在使用
我正在为我的图像处理项目构建一个 SVM 线性机,在其中提取正样本和负样本的特征并将其保存到目录中。然后,我使用这些功能训练 SVM,但收到一个无法调试的错误。下面是我用于训练分类器的 train-c
问题描述: 我要将MySQL server 5.7.11 (win32) 安装到Windows server 2012 中。服务器中安装了多个网络接口(interface)卡,我将安装多个绑定(bin
我想安排一台 (AWS) Linux 计算机启动、运行程序,然后自行关闭(以将成本保持在最低水平)。我可以放 mycommand; shutdown 在/etc/rc.local 文件中。但如果我需要
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 4 年前。 Improve this ques
如何将此文件的输出发送到另一台 Linux 计算机的主目录。 显然,我想发送此文件的输出: sed '/^\s*#/d;/^$/d' /etc/httpd/conf/httpd.conf 到 nati
我有一个 Linux 机器,我可以使用 SSH 进行 root 访问。 我想使用GDB来调试系统。 这是一个精简的 Debian 软件包;因此,我里面没有任何编译工具。 uname -a 给出: 2.
我是一名优秀的程序员,十分优秀!