ASP.NET 環境での部分信頼構成はどの程度役立ちますか? 管理者が完全に制御する独自のサーバーがある場合、部分信頼の設定は、悪意のあるコードをアップロードして実行することはできますが、web.config に触れて信頼レベルを上げることはできないタイプの攻撃でのみ役立ちます。そのような攻撃は可能ですか?
2 に答える
2
私は数年間、この壁に頭をぶつけてきました。信頼度が中程度の場合、使用している多くのサード パーティ コントロールが信頼度が中程度に対応できず、常にソース コードを持っているとは限らないことがすぐにわかります。完全に信頼して実行する必要があり、GAC に配置してはならないコードの 1 行に到達するとすぐに (私の場合、コンポーネントを GAC で共有可能にする際にライセンス制限がありました)、完全な信頼に戻ります。 .
私のアドバイス:
- .NET 4.0 を待ちます。CAS モデルが簡素化されました。
- リクエストごとにアプリドメインを起動し、その時点で CAS アクセス許可リストを設定します。アプリドメイン全体に対して 1 つの CAS ポリシーのみを取得します。リクエストごとにアプリ ドメインを起動すると、パフォーマンスとスケーラビリティが失われるのを見て、アプリ ドメイン間の通信がしばしば苦痛であることを学びます。
これまでのところ、誰かが中程度の信頼を使用しなければならないと私が考えることができる唯一の理由は、次の場合です。割引ホスティング、組織がそれを要求する (チェックリストに載っているため)、ユーザーが意図的に dll をアップロードできるようにするため (たとえば、オンライン逆コンパイル サービスまたはプログラミング コンテストを実行して、ユーザーが最速の dll を提出できるようにします)。
于 2010-01-20T16:56:47.160 に答える
0
ホスティング会社が使用する部分的な信頼があります。独自のサーバーがある場合は、それについて心配する必要はなく、完全な信頼に設定してください。
于 2010-01-20T16:46:09.523 に答える