kod erişimi güvenlik bu link üzerinden gidiyordu

Question

Temelleri ve Örnek CodeAccessSecurity anlamak

1. Eğer talep durumunda ve İstediğiniz tüm izinleri alın, sonra herhangi bir yürütülebilir makine üzerinde Full_Trust alabilirsiniz. Eğer izinler zaten varsa, neden bunları talep etmeliyiz?

2. Kod, Sunucu üzerinde çalışıyor, bu nedenle izinler istemci makinede değil sunucuda mı?

3. Makale, güvenlik istisnasını göstermek için bir derlemeden yazma izinlerini kaldırma örneğini alır. Gerçek dünyada olmasına rağmen, System.IO derlemesi (veya ilgili sınıflar) bu izinleri dikkate alacaktır. Yani CAS'a ihtiyacımız olacak gerçek bir senaryo var mı?

Answer 1

1. "az ayrıcalık erişim" secuirty çok önemli bir asıl düşüncesi. Bir bilgisayar korsanı, uygulamanızın yapılması planlanmadığı bir şey yapmasını sağlayacaktır. Saldırı sırasında uygulamanın sahip olduğu haklar ne olursa olsun saldırgan aynı haklara sahip olacaktır. Uygulamanıza karşı her saldırıyı durduramazsınız, bu yüzden olası bir saldırının etkisini olabildiğince azaltmanız gerekir. Bu kurşun geçirmez değil, ama bu bar önemli ölçüde yükseltir. Bir saldırgan, kendi istismarında bir ayrıcalık tırmanma saldırısını zincirleyebilir. Çoğu durumda, istemcinin eylemlerini denetleyemezsiniz. Genel olarak, saldırganın bir hata ayıklayıcısını veya değiştirilmiş veya yeniden yazılmış bir istemci kullanarak istemciyi denetleyebileceğini varsayalım. Bu özellikle web uygulamaları için geçerlidir. Sunucuyu mümkün olduğunca korumak ve izinleri ayarlamak ortak bir yöntemdir.

2. Üzgünüm, bunu Google olmadan yanıtlayamıyorum. Ancak CAS yine de kullanımdan kaldırıldı.