莫等待，莫依賴，快把ASP.NET安全更新裝起來!

ASP.NET安全弱點的安全更新程式已在9/28釋出，也如ScottGu所預告，很快被加進Windows Update自動更新機制中!
(Windows Update會依OS及.NET版本決定更新程式，快點去檢查更新並安裝吧!)

請大家儘速對所有ASP.NET主機進行安全更新，愈快愈好!!

看了Scott的公告，我整理幾點注意事項如下:

1. 由於此一資安漏洞已被公開，所以很有可能有人已製作了駭客程式，準備攻擊沒有修補漏洞的ASP.NET主機。如果不想讓你的ASP.NET網站變成待宰羔羊，請立即更新!
2. 如果是Web Farm，記得每一台主機都必須要更新到。只要有一條漏網之魚，駭客照樣能攻陷整個Web Farm網站。
3. ASP.NET修改了表單式登入認證(Forms Authentication)機制的Cookie演算法，所以之前用來記住身份下回免登入的Cookie將會失效，在安全更新後必須重新登入一次。(對User來說，只不過像Cookie過期或換台新電腦第一次連上網站一樣，不會有特殊感覺)
   PS: 若原來程式碼有自行對認證Cookie加解密，可能需要調整程式，避免在安裝更新後抛出例外，或者另一個省事的做法是修改web.config中的認證Cookie名稱，亦可解決問題。
4. 多個Web Application共用表單式認證Cookie的做法仍然可以繼續沿用。
   (我這才知道原來可以在一台機器上的ASP.NET 2.0、ASP.NET 3.5 SP1、ASP.NET 4.0三種ASP.NET網站共用認證Cookie)
5. 若Web Farm中混合了.NET 2.0 SP1與.NET 2.0 SP2，webresouce.axd、scriptresource.axd的URL在安裝安全更新後可能會因SP版本不同而有所差異，建議將.NET SP版本統一。
6. 另外，安裝完更新，先前的web.config customError設定就可以調回原有設定(不用404跟500混在一起)。但注意，依一般的ASP.NET安全通則，正式上線主機請調成On或RemoteOnly，調成Off時仍然會衍生其他資安風險。

再次提醒

請大家儘速對所有ASP.NET主機進行安全更新，愈快愈好!!