Симон Робинсон - C# для профессионалов. Том II
Три примера из файла AssemblyInfo.cs (см. ниже) демонстрируют использование атрибутов для запроса полномочий. Эти примеры можно найти в проекте SecurityАрр9 среди загружаемых с сайта издательства Wrox файлов. Первый атрибут выдвигает требование, чтобы сборка имела UIPermission, что даст приложению доступ к интерфейсу пользователя. Запрос делается для минимальных полномочий, а если это право не предоставляется, то сборка не сможет запуститься.
Using System.Security.Permissions;
[assembly:UIPermissionAttribute(SecurityAction.RequestMimimum)]
Затем запрашивается, отказывается ли сборка от доступа к диску C: . Настройка атрибута означает, что для всей сборки будет заблокирован доступ к этому диску:
[assembly:FileIOPermissionAttribute(SecurityAction.RequestRefuse, Read="C:\")]
Ниже дан атрибут, который запрашивает для сборки необязательные полномочия, чтобы обеспечить доступ к неуправляемому коду:
[assembly:SecurityPermissionAttribute(SecurityAction.RequestOptional,
Flags = SecurityPermissionFlag.UnmanagedCode)]
В данном сценарии можно было бы добавить этот атрибут в приложение, которое обращается к неуправляемому коду по крайней мере в одном месте. В таком случае мы определяем, что это полномочие является необязательным, предполагая, что приложение может выполняться без полномочия доступа к неуправляемому коду. Если сборке не предоставлены права для доступа к неуправляемому коду и она попытается это сделать, то будет порождаться исключение SecurityException, которое должно ожидаться приложением и соответственно обрабатываться.
При рассмотрении требований полномочий для приложения обычно необходимо выбрать одну из следующих возможностей:
□ Запрос всех необходимых полномочий в начале выполнения и постепенное снижение требований или выход, если эти полномочия не предоставлены.
□ Отказ от запроса полномочий в начале выполнения, но готовность обрабатывать исключения безопасности внутри приложения.
Если сборка была сконфигурирована для использования атрибутов полномочий таким образом, мы сможем использовать утилиту permview.exe для просмотра полномочий, нацеливая ее на файл сборки, содержащий манифест сборки:
permview.exe assembly.dll
Вывод для приложения, использующего три показанных атрибута, будет выглядеть так.
minimal permission set:
<PermissionSet class="System.Security.PermissionSet" version="1">
<IPermission class="System.Security.Permissions.UIPermission, mscorlib, Version=1 .0.2411.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"
version="1" Unrestricted="true" />
</PermissionSet>
optional permission set:
<PermissionSet class="System.Security.Permission.Set" version="1">
<IPermission class="System.Security.Permissions.SecurityPermission, mscorlib, Version=1.0.2411.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"
version="1"
Flags="UnmanegedCode" />
</PermissionSet>
refused permission set:
<PermissionSet class="System.Security.PermissionSet" version="1" >
<IPermission class="System.Security.Permissions.FileIOPermission, mscorlib, Version=1.0.2411.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"
version="1"
Read="C:" />
</PermissionSet>
В дополнение к запрашиваемым полномочиям можно также запросить целое множество прав сразу. Так как некоторые множества полномочий (Internet, LocalIntranet и Everything) изменяются с помощью политики безопасности при выполнении сборки, то они запрашиваться не могут. Например, если сборка сообщила, что ей необходимо предоставить для выполнения все полномочия в множестве полномочий LocalIntranet, а администратор затем сузил множество прав LocalIntranet во время выполнения приложения, то может быть неизвестно, в каком множестве прав происходит работа.
Существует три множества полномочий, которые нельзя изменить во время выполнения приложения, эти множества могут запрашиваться с помощью атрибутов:
□ Nothing
□ Execution
□ FullTrust
Вот пример того, как запрашивается встроенное множество полномочий:
[assembly:PermissionSetAttribute(SecurityAction.RequestMinimum,
Name = "FullTrust")]
В этом примере сборка запрашивает, как минимум, встроенное множество полномочий FullTrust. Если это множество не будет предоставлено, то сборка породит во время выполнения исключение безопасности.
Неявное полномочие
Часто, когда предоставлена некоторые полномочия, возникает неявное утверждение, что также даны и другие полномочия. Например, если присвоено полномочие FileIOPermission для C:, то неявно предполагается, что также имеется доступ к его подкаталогам (допущение системы безопасности учетных записей Windows).
Если необходимо проверить, что данное полномочие неявно вносит другое полномочие в качестве подмножества, то можно сделать следующее.
// Пример из SecurityApp5
class Class1 {
static void Main(string[ ] args) {
CodeAccessPermission permissionA =
new FileIOPermission(FileIOPermissionAccess.AllAccess, @"C:");
CodeAccessPermission permissionB =
new FileIOPermission(FileIOPermissionAccess.Read, @"C:temp");
if (permissions.IsSubsetOf(permissionA) {
Console.WriteLine("PermissionB is a subset of PermissionA");
} else {
Console.WriteLine("PermissionB is NOT a subset of PermissionA");
}
}
}
Вывод будет выглядеть следующим образом:
PermissionB is a subset of PermissionA
Отказ от полномочий
Существуют ситуации, когда необходимо быть абсолютно уверенным, что вызываемый метод действует в защищенном окружении, где он не может сделать ничего неблагоприятного. Предположим, нужно сделать вызов класса независимого поставщика и при этом точно знать, что он не получит доступ к локальному диску.
Чтобы достичь этого, создается экземпляр полномочия, который не должен получить метод а затем перед вызовом класса вызывается метод Deny():
using System;
using System.IO;
using System.Security;
using System.Security.Permissions;
namespace SecurityApp6 {
class Class1 {
static void Main(string[] args) {
CodeAccessPermission permission =
new FileIOPermission(FileIOPermissionAccess.AllAccess, @"C:");
permission.Deny();
UntruscworthyClass.Method();
CodeAccessPermission.RevertDeny();
}
}
class UntrustworthyClass {
public static void Method() {
try {
StreamReader din = File.OpenText(@"C:textfile.txt");
}
catch {
console.WriteLine("Failed to open file");
}
}
}
}
Если выполнить этот код, то будет выведено сообщение Failed to open file, так как ненадежный класс не имеет доступа к локальному диску.
Отметим, что вызов Deny() делается на экземпляре класса полномочия, в то время как вызов RevertDeny() выполняется статически. Причина этого заключается в том, что вызов RevertDeny() возвращает в прежнее состояние все запросы Deny() в рамках текущего стека. Таким образом, если было сделано несколько вызовов Deny(), то необходимо сделать только один последующий вызов RevertDeny().
Заявляемые полномочия
Пусть имеется сборка, которая была установлена в системе пользователя с полномочиями Full Trust. В этой сборке существует метод, который сохраняет контрольную информацию в текстовом файле на локальном диске. Если позже будет установлено приложение, для которого следует воспользоваться свойством контроля, то для приложения необходимо будет иметь соответствующие полномочия FileIOPermission для сохранения данных на диске.
Это кажется, однако, избыточным, так как в действительности необходимо выполнить крайне ограниченное действие на локальном диске. В такой ситуации будет полезно, если сборки с ограниченными полномочиями обратятся к более надежным сборкам, которые могут временно увеличить область действия полномочий на стек и выполнить операции от имени вызывающей стороны, которая не имеет на это прав.
В результате сборки с достаточно высоким уровнем надежности могут заявить требуемые ими полномочия. Если сборка имеет полномочия, которые нужны ей для заявки дополнительных прав, это снимает необходимость для вызывающих в стеке методов иметь такие широкие полномочия.
Приведенный ниже код содержит класс AuditClass, реализующий метод Save(), который получает строку и сохраняет контрольные данные в C:audit.txt. Метод AuditClass заявляет полномочия, которые ему нужны для добавления контрольных строк в файл. Чтобы протестировать это, метод приложения Main() явно отвергает полномочие файла, которое требуется методу Audit:
using System;
using System.IO;
using System.Security;
using System.Security.Permissions;
namespace SecurityApp7 {
class Class1 {
static void Main(string[] args) {
CodeAccessPermission permission =