Ana: tarayıcıya gönderilen şifrelenmiş verileri imzala. Bu, saldırının geçerli vs geçersiz doldurma hakkında bilgi elde etmek için yaptığı değerlerle uğraşmayı engeller, çünkü imza tüm bu durumlarda eşleşmeyeceğinden.
Onun dikkat etmek önemlidir, dosyalar alma izin webresource and scriptresource delik böyle olmaması gerekirdi. Tek başına basit şifreleme, kurcalamaya dayanıklı değildir. Başka bir deyişle, o zamanki dolgunluktan kurtulma oracle saldırısının geri kalanı gibi gelişmiş bir senaryonun bir gözetimi değildi (yine de aynı gerçeğe dayanarak, sunucuda kurcalamaya karşı korumasız bir koruma uygulayarak değiştirilmiş şifrelenmiş verileri geri gönderiyordu).
Yukarıdaki ana düzeltmenin yanı sıra, beklenen şifreleme yan kanallarını gizlemeye ve aynı şifreleme çağrılarına (asp.net üyeliği gibi) dayanan diğer özellikleri kırmadığından emin olmak gibi beklenen şeyler.
Koli bandı olduğunu düşünüyorum. – FrustratedWithFormsDesigner
er ya da geç birisi, NDepend veya Reflector kullanarak System.Web.Extensions.dll sürümlerini karşılaştırır. –
@Mauricio, AES uygulamaları yönetilmeyen bir koddur, bu yüzden Reflector veya NDepend'in çok yardımcı olacağını düşünmüyorum :-) Eğer bu, yönetilen bir düzeltmeyse, her bir Windows sürümü, CPU tipi için yama sürümleri olmazdı. .. –