【问题标题】:Code Access Security - Basics and Example代码访问安全 - 基础知识和示例
【发布时间】:2011-01-25 01:39:15
【问题描述】:

我正在通过此链接了解 CodeAccessSecurity: http://www.codeproject.com/KB/security/UB_CAS_NET.aspx

这是一篇很棒的文章,但它给我留下了以下问题:

  1. 如果您可以要求并获得您想要的任何权限,那么任何可执行文件都可以在机器上获得 Full_Trust。如果权限已经存在,那我们为什么需要这些权限?

  2. 代码在服务器上执行,所以权限在服务器上而不是在客户端机器上?

  3. 文章举例说明了从程序集中删除写权限以显示安全异常。尽管在现实世界中,System.IO 程序集(或相关类)会处理这些权限。那么是否存在我们需要 CAS 的真实场景?

【问题讨论】:

标签: c# .net asp.net security


【解决方案1】:
  1. “最小权限访问”的概念是非常重要的安全原则。黑客会让你的应用程序做一些它不打算做的事情。无论应用程序在攻击时拥有什么权利,攻击者都将拥有相同的权利。您无法阻止针对您的应用程序的所有攻击,因此您需要尽可能降低可能的攻击的影响。这不是防弹的,但这大大提高了标准。攻击者可能能够在他的漏洞利用中链接特权升级攻击。

  2. 在大多数情况下,您无法控制客户端的操作。一般来说,您应该假设攻击者可以使用调试器或使用修改或重写的客户端来控制客户端。对于 Web 应用程序尤其如此。您希望尽可能地保护服务器,而调整权限是一种常见的方法。

  3. 抱歉,如果没有 Google,我无法回答这个问题。但无论如何,CAS 已被弃用。

【讨论】:

    猜你喜欢
    • 2011-12-09
    • 2019-04-14
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2010-09-26
    • 1970-01-01
    相关资源
    最近更新 更多