問題タブ [full-trust]

私たちの C++ ソリューション (.NET 4.0 アセンブリを呼び出す) をネットワーク ドライブで実行すると、奇妙な問題が発生します。このソリューションは、NetTcpBinding を使用して複数の WCF サービスをホストします。そのうちの 1 つは既定以外のバインド構成を使用します。デフォルト以外の NetTcpBinding は、部分信頼ではそれ自体は不可能ですが (スタック オーバーフローの質問WCF NetTcpBinding がクライアントで完全な信頼を必要とするのはいつですか? を参照)、ソリューションは完全に信頼されたネットワーク ドライブで実行されます。これは、いくつかの異なるコンピューター (Windows Vista および Windows 7) で機能しますが、例外をスローして 1 つ (Windows Vista) で失敗します。

"system.serviceModel/bindings" の構成セクション ハンドラーの作成中にエラーが発生しました: そのアセンブリは、部分的に信頼された呼び出し元を許可しません。(K:\Somepath\Testing.exe.Config 行 6)

この例外は、ソリューションが実際にそのコンピューターで部分的な信頼の下で実行される場合は完全に問題ありませんが、完全な信頼の下で実行されます。コードの完全な信頼を確認しても、それは真実です。

インターネット オプションが動作するコンピュータの 1 つで、インターネット オプションを再確認しましたが、違いはありませんでした。

すべての DLL ファイルと EXE ファイルには厳密な名前が付けられています。

更新: ネットワーク ドライブは、特定のコンピューター ( caspol.exe) で完全に信頼されています。

何を探すべきですか？

追加情報が必要な場合は、お知らせください。

更新 2: その問題はまだ残っており、さらに 1 台のコンピューター (Windows 7) でも発生しています。OS非依存のようです。

完全な信頼を実行する必要がある XBAP があります。一時的な証明書を信頼されたルート証明機関と信頼された発行元に追加することで、多くのクライアント マシンで動作させました。これは小規模では問題ありませんが、アプリが使用されるすべてのマシンでこれを行う必要はありません。

認証局から証明書を購入し、これでマニフェストに署名した場合、アプリは完全な信頼で実行されるか、少なくともユーザーに実行オプションが表示されるという印象を受けました. しかし、そうではないようです。

アプリを完全に信頼して実行できるようにするには、個々のマシンを構成する必要がありますか? 私は単にそれを間違って設定したことを望んでいます。

ありがとう。

IIS7 でホストされている顧客は、asp.net と System.Diagnostics を使用して、すべてのシステムのプロセス ID を一覧表示できます。また、独自のアプリケーション プールに属するアプリケーションを強制終了することもできます。共有ホスティング環境の IIS7 では、大きなセキュリティ上の問題があるようです。通常のユーザーが System.Diagnostics にアクセスできないようにする方法について何か提案はありますか? 管理者のみに制限するにはどうすればよいですか?

Silverlight 4.0 で提供される COM 相互運用機能を使用して、ローカル マシンのリソースの一部を使用しています。したがって、当然、昇格された権限を持つ OOB が必要です。ただし、私の場合、HTTPS チャネルでホストされている WCF サービスを使用しています。ここで私は問題に直面しています。昇格されたアクセス許可が適用された OOB では、異なるドメインまたは同じドメインでホストされている HTTPS サービスを使用できず、NotFound 例外が発生します。開発環境には自己署名証明書を使用していることに注意してください。私がテストしているクライアント マシンの Trusted Root フォルダにも同じものがインストールされています。

興味深いことに、Fiddler オプション (Fiddler セッションで、Toos -> Fiddler Options -> HTTPS タブ) を設定して HTTPS トラフィックをインターセプトし、[HTTPS トラフィックを復号化] チェックボックスをオンにすると、同じ HTTPS サービスを例外なく使用できます。しかし、そのためには、ユーザー プロファイルの Fiddler ディレクトリ内に一時的な証明書を保存するように Fiddler から指示されました。その時点で少なくとも 1 つの Fiddler セッションが必要です。したがって、それは認証の問題のようです。しかし、とにかく、必要な証明書を使用した XAP ファイルの署名に関連していますか? 私はわかりません。自己署名証明書を試し、その証明書を使用するようにレイヤー サービス URL をバインドしました。次に、同じ証明書をクライアントの信頼されたルート フォルダーにインストールします。しかし、その証明書で XAP に署名することに成功しませんでした。

回避策があれば教えてください。

2 つの Web アプリケーション (事前にコンパイルされたサイト) があり、1 つはファースト パーティであり、完全な信頼で実行されます。もう 1 つはサード パーティであり、部分的な信頼 (または特定のアクセス許可) で実行する必要があります。

TrustedAssembly.Web.Pages.MyPage完全信頼の既定の AppDomain で実行する必要があります。 UntrustedAssembly.Web.Pages.SomePage部分信頼 AppDomain で実行する必要があります。

さらに、TrustedAssembly.Web.Pages.MyPage動的に読み込まUntrustedAssembly.Web.Controls.SomeControlれる場合、ページが完全信頼の下で実行されている間に、部分信頼および/または特定のアクセス許可でコントロールを実行することは可能ですか?

逆に、たとえばUntrustedAssembly.Web.Controls.SomePage動的にロードする場合TrustedAssembly.Web.Controls.MyControl、ページが部分信頼で実行されているときに、コントロールを完全信頼で実行することは可能ですか?

更新/参考: これは .NET 4 です

完全に信頼して XBAP を検討していますが、SL5 の P/Invoke 機能について聞いたところです。XBAP は IE でしか機能せず、Firefox でしか機能せず、Chrome では機能しないことを考えると、XBAP の展開は非常に難しいため、これは非常に興味深いことです。

この機能の詳細と、そのクロスブラウザーサポート (もちろん x86 マシン上) を知っている人はいますか?

カスタムアセンブリにアクセスしようとする次のコードを実行しています。

上記の行は、以下にリストされているさまざまな例外をスローします。

アプリケーションを正しく実行するには、完全な信頼のアクセス許可が必要です。
オフィスソリューションを展開するときは、必要なセキュリティ要件をすべて満たしていることを確認してください。証明書を使用して、必要なアクセス許可を取得します。
カスタムセキュリティオブジェクトを実装するアセンブリが他のアセンブリを参照している場合は、参照されているアセンブリを完全な信頼アセンブリリストに追加します。

IE および Windows のすべてのバージョンには多くの設定があり、特に fulltrust モードで xbap アプリケーションを実行しようとするユーザーに問題を引き起こす可能性があります。

私は昨年、そのような事例の長いリストを集めたようです。ただし、私のシステムの 1 つでユーザーに発生するこの 1 つの例外に悩まされており、ここの誰かが私を正しい方向に向けてくれることを望んでいました。

このアプリケーションは、使用されているすべてのバージョンの Windows、および IE6 -> IE9 で問題なく実行されるため、展開/xbap 自体に問題はありません。ユーザーは、以下のエラー ログ/スタック トレースを取得します。この漠然とした痕跡に遭遇し、何が問題なのか知っている人はいますか? このユーザーは IE8 & W7 を実行しています。

ユーザーは、信頼されたルート機関と信頼された発行元に適切な証明書をインストールしています。問題のサイトは、信頼済みサイトのリストに追加されました。Xbap は IE で有効になっています。

URL、公開鍵、アプリ名などは暗号化されています。

Brgds, スティアン

私は現在、部分的な信頼で実行する必要があるASP.NETMVCサイトで作業しています。現在、高信頼状態のときにAppFabricに接続する際に問題が発生しています。完全に信頼して実行する場合は問題ありません。web_hightrust.configファイルに必要な権限は何ですか。

失敗するメソッドは次のようになります。

ご覧のとおり、接続を確立するのに十分だと思うものでメソッドに注釈を付けましたが、失敗します。

どんなアイデアでもありがたいです。

コマンド ライン (バッチ) アプリケーションと完全/部分的な信頼に問題があります。

以前のリリース (バージョン番号 7.13.0.63) は正常に動作しますが、新しいバージョン (7.13.0.249) をインストールすると、「そのアセンブリでは、部分的に信頼された呼び出し元が許可されていません」というメッセージが表示されます。

例外：

製品の展開に使用するプロセスに関しては、WiX を通じて作成された MSI を使用します。次の手順を実行します。

• 製品の以前のバージョンをアンインストールする
• ネットワーク共有から msi をコピーします (両方のバージョンで同じ共有、バージョンに基づいて異なるサブディレクトリ)
• 管理者として msi をインストールする
  • これは C:\Program Files (x86) にインストールされます

2 つのバージョン間の変更点は次のとおりです。

• トランザクションのタイムアウトを指定するために、app.config ファイル (myapp.exe.config) に追加の AppSettings 項目を含める
• 「using new TransactionScope()」を「using New TransactionScope(TransactionScopeOption.Required, timeoutValueReadFromAppSettingsAndStoredInLocalVariable)」に変更
  • WCF クライアントの作成は、このトランザクション スコープの範囲外です。

追加情報：

• この例外は、dev/staging/qa/pre production 環境のいずれでも発生しません。これは、本番アプリケーション サーバーでのみ発生します。
• Windows 7 を組織に導入する過程にあるため、企業のポリシーが変更された可能性があります。
• アプリケーションは .Net Framework 4.0 を対象としています
• 新しいバージョンをアンインストールし、古いバージョン (ネットワーク共有からのコピーを含む) を再インストールすると、古いバージョンは引き続き正常に動作します。
• インストール先のマシンは Windows Server 2008 R2 です
• マシンは、VMWare 環境でホストされている仮想マシンです

理想的には、いくつかのことを知りたいです:

1. 完全信頼モードで実行できるようにアセンブリを変更する (またはインストール後にアクセス許可を設定する) 方法
2. 開発/ステージング/QA 環境で問題を再現する方法
   • アセンブリが明示的に「信頼できない」と再現する可能性がありますが、インストール時に信頼できないと識別されるように、本番と同じ方法で再現したいのですが、これを行う方法は何か関係があるようですMSI のコピー元のネットワーク共有を「信頼しない」か、MSI/アセンブリ内の発行元情報を「信頼しない」可能性があります。
3. 将来のインストールが完全に信頼されるように、運用アプリケーション サーバー/セキュリティ ポリシーを構成する方法 (項目 2 に回答すると、これに回答する可能性が高くなります)

ありがとう