मुख्य: ब्राउज़र पर भेजे गए किसी भी एन्क्रिप्टेड डेटा पर हस्ताक्षर करें। यह हमले जैसे मूल्यों के साथ गड़बड़ी को रोकता है, वैध बनाम अमान्य पैडिंग पर जानकारी प्राप्त करने के लिए किया गया था, क्योंकि हस्ताक्षर उन सभी मामलों में मेल नहीं खाते हैं।
यह ध्यान रखना महत्वपूर्ण है कि webresource and scriptresource में छेद जो फाइल पुनर्प्राप्ति की अनुमति नहीं देनी चाहिए थी। अकेले सरल एन्क्रिप्शन सबूत छेड़छाड़ करने के लिए नहीं है। दूसरे शब्दों में, यह एक उन्नत परिदृश्य की निगरानी नहीं था जैसे बाकी पैडिंग ऑरैकल हमले (जो अभी भी एक ही तथ्य पर निर्भर था, सर्वर पर कोई छेड़छाड़ सबूत सुरक्षा के साथ ऐप में संशोधित एन्क्रिप्टेड डेटा वापस भेज रहा था)।
उपरोक्त मुख्य फिक्स के अलावा, अपेक्षित चीजें जैसे कि आगे एन्क्रिप्शन साइड चैनल छिपाने की कोशिश कर रहे हैं और यह सुनिश्चित करना कि यह अन्य सुविधाओं को तोड़ने में सक्षम न हो जो समान एन्क्रिप्शन कॉल (जैसे एएसपीनेट सदस्यता) में भरोसा करते हैं।
मुझे लगता है कि यह नलिका टेप था। – FrustratedWithFormsDesigner
जल्दी या बाद में कोई व्यक्ति NDepend या Reflector का उपयोग कर System.Web.Extensions.dll के दोनों संस्करणों की तुलना करेगा। –
@ मॉरिसियो, एईएस कार्यान्वयन अप्रबंधित कोड हैं इसलिए मुझे नहीं लगता कि परावर्तक या एनडेंपेन्स बहुत मदद करेगा :-) यदि यह एक शुद्ध प्रबंधित फिक्स था तो प्रत्येक कल्पनीय विंडोज संस्करण, सीपीयू प्रकार, के लिए पैच के संस्करण नहीं होंगे। .. –