Тег: security

Полное руководство по TokenValidationParameters в ASP.NET Core 11: как работают ValidateIssuer, ValidateAudience и ValidateLifetime, какие на самом деле значения по умолчанию, почему Authority автоматически настраивает издателя и ключи подписи, ловушка ClockSkew в 5 минут и как читать коды ошибок IDX, когда отклоняется на вид валидный токен.

Полное руководство по CORS для API с токеном bearer в ASP.NET Core 11: правильный порядок UseCors относительно аутентификации, почему токен bearer в заголовке Authorization не является учётными данными CORS, почему AllowAnyHeader работает, а ручной шаблон не покрывает Authorization, и как не дать предварительному запросу завершиться сбоем.

.NET 11 Preview 5 добавляет полноценный тип X25519DiffieHellman в System.Security.Cryptography, чтобы выполнять обмен ключами Curve25519 без BouncyCastle или NSec.

Anthropic выпустила бесплатный плагин security-guidance для Claude Code, который сканирует собственные правки агента на уязвимости в три слоя: от бесплатного сопоставления с образцом до агентной проверки при коммите.

Очистка пакетов NuGet поставляется включённой по умолчанию для проектов net10.0, сокращая отчёты о транзитивных уязвимостях на 70% и время restore до 50%.

Новый пакет Microsoft.AgentGovernance от Microsoft оборачивает вызовы MCP-инструментов ядром политик, сканером безопасности и санитайзером ответов. Вот что делает каждая часть и как это подключается на C#.

Aspire 13.2.4 поднимает зависимости OpenTelemetry для устранения CVE-2026-40894, усиления выделений в Gen0 при разборе пропагаторов baggage, B3 и Jaeger. Обновите OpenTelemetry.Api и OpenTelemetry.Extensions.Propagators до 1.15.3, даже если вы не используете Aspire.

Дефект валидации HMAC в Microsoft.AspNetCore.DataProtection 10.0.0 до 10.0.6 позволяет атакующим подделывать ciphertexts. .NET 10.0.7 - обязательный фикс.

.NET 10 добавляет нативную поддержку постквантовых криптографических алгоритмов ML-KEM, ML-DSA и SLH-DSA, готовя ваши приложения к квантово-устойчивому будущему.