1. Inicio
  2. Pregunta y respuesta
  3. Código de Acceso de Seguridad - Fundamentos y Ejemplo

Código de Acceso de Seguridad - Fundamentos y Ejemplo

2010-03-08 17 views
5

que iba a través de este enlace a entender CodeAccessSecurity: http://www.codeproject.com/KB/security/UB_CAS_NET.aspxCódigo de Acceso de Seguridad - Fundamentos y Ejemplo

Es un gran artículo, pero me dejó con preguntas siguientes:

  1. Si puede exigir y obtenga los permisos que desee, luego cualquier ejecutable puede obtener Full_Trust en la máquina. Si los permisos ya están ahí, ¿por qué tenemos que exigirlos?

  2. ¿El código se está ejecutando en el servidor, por lo que los permisos están en el servidor no en la máquina del cliente?

  3. El artículo toma como ejemplo la eliminación de los permisos de escritura de un ensamblaje para mostrar la excepción de seguridad. Aunque en el mundo real, el ensamblado de System.IO (o las clases relacionadas) se encargará de estos permisos. Entonces, ¿hay un escenario real en el que necesitaremos CAS?

Fuente

2010-03-08 user274915

+3

CAS es obsoleta como de .NET 4.0 (http://www.infoq.com/news/2009/11/CAS-Replaced) así que ten cuidado de no acercarse demasiado dependiente de ella ... más –

+2

información sobre lo que está cambiando exactamente aquí: http://msdn.microsoft.com/en-us/library/dd233103%28VS.100%29.aspx –

+0

@Colin: gracias. Aunque no creo que vaya a saltar a 4.0 por un año más o menos. Además, me gustaría saber qué ejemplos se necesita CAS y, probablemente, cómo se manejará en 4.0. – user274915

Respuesta

2

  1. La idea de "acceso mínimo privilegio" Un director muy importante de Secuirty. Un hacker hará que su aplicación haga algo que no estaba destinado a hacer. Independientemente de los derechos que tenga la aplicación en el momento del ataque, el atacante tendrá los mismos derechos. No puede detener cada ataque contra su aplicación, por lo que necesita reducir el impacto de un posible ataque tanto como sea posible. Esto no es a prueba de balas, pero esto aumenta significativamente la barra. Un atacante puede encadenar un ataque de escalada de privilegios en su exploit.

  2. En la mayoría de las situaciones, no puede controlar las acciones del cliente. En general, debe suponer que el atacante puede controlar al cliente utilizando un depurador o un cliente modificado o reescrito. Esto es especialmente cierto para las aplicaciones web. Desea proteger el servidor tanto como sea posible, y ajustar los permisos es una forma común de hacerlo.

  3. Lo siento, no puedo responder a esto sin Google. Pero CAS está en desuso de todos modos.

Fuente

2010-03-08 18:24:50 rook

Cuestiones relacionadas

 Cuestiones relacionadas