현재 ASP.net 웹 사이트 응용 프로그램의 보안 문제를 해결하고 있습니다.EnableViewStateMAC = true이면 ASP.Net 웹 사이트의 ViewStateEncryption에 필수입니까?
문제점 중 하나는 ViewState
이 암호화되지 않았기 때문입니다.
그래서 StackOverFlow 및 다른 위치에서 viewState를 암호화하는 방법을 확인했으며 <pages viewStateEncryptionMode="Always" />
을 사용하고 Web.config에 <machineKey validation="3DES" />
과 같은 3DES machinekey를 추가했습니다.
"EnableViewStateMAC=true"
도 꼭 필요한지 알고 싶습니다. 이것은 내가 온라인에서 찾은 제안 된 해결책 중 일부에서 언급 되었기 때문에. 하지만 내 수표에서 나는 암호화가 작동하지 않고 있다는 것을 알았습니다.
[참고 :.이 응용 프로그램이 아닌 실제적인 솔루션입니다 I 개별 페이지를 변경하기 때문에 응용 프로그램 수준 (의 Web.config)에서 이러한 변경을해야했다] 때 당신
ViewState를 암호화 할 것이므로 데이터를 변조하는 침입자를 탐지하기 위해 MAC을 사용하는 것이 좋습니다. 암호화만으로는 메시지 무결성을 제공하지 않습니다. – mfanto