Este es el escenario que Firma retardada se supone que previene:
Su empresa hace que los sistemas de comercio para los bancos. Jack es un empleado descontento. Ha estado trabajando en su equipo durante un año y ha tenido acceso a la clave privada utilizada para firmar las asambleas porque es parte de la construcción que todos utilizan. Jack tiene una explosión con su manager y se va con todo el código fuente. Ahora Jack decide vengarse. Él va a pescar a los empleados del banco donde se encuentra su software y obtiene algunos de ellos para descargar una utilidad que cambia un ensamblaje legítimo por uno que Jack construyó y firmó. Debido a que las firmas coinciden, el programa de llamadas nunca sabe que un componente crítico se ha visto comprometido.
El propósito de 'Delay Signing' es que solo los ingenieros de construcción tienen acceso a la firma. Esto, teóricamente, reduce el número de personas en las que necesita confiar implícitamente con su código fuente. Se espera que los ingenieros de software desactiven (ignoren) la comprobación de nombres fuertes cuando compilan y depuran.
Gracias Josh .... – smwikipedia
una de las pocas respuestas que realmente explican la _motivación_, no solo el caso de uso o el mecanismo: ¡aprobación! – staafl
Lo siento, soy nuevo en esto y me relaciono con la pregunta, pero no puedo entender esta respuesta. ¿No son esas 4 razones que explican la necesidad de una firma fuerte? Pero si, en un entorno de desarrollo u otro, decide que está preparado para usar un ensamblado que no está fuertemente firmado, y pensé que esta era la verdadera pregunta: ¿qué es más seguro o deseable sobre la "firma retrasada" en comparación con no firmar en absoluto? ? ¿Por qué no podemos tener un entorno de desarrollo libre de firmas y luego sufrir el dolor de la firma cuando en realidad agrega seguridad? ¿Seguramente una demora para firmar con una clave pública es una broma?Cualquier idea apreciada ... –