Симон Робинсон - C# для профессионалов. Том II
Необходимо знать, что нельзя удалить группу кода All Code, но можно удалить группы кода на уровень ниже, включая группы для Internet, MyComputer и LocalIntranet.
Изменение полномочий группы кода
Чтобы ослабить или ограничить полномочия, присвоенные группе кода, можно снова использовать caspol.exe. Предположим, что мы хотим применить FullTrust к зоне Intranet. В этом случае сначала мы должны получить метку, которая представляет группу кода Intranet:
caspol.exe -listgroups
Вывод показывает группу кода Intranet:
Code Groups:
1. All code: Nothing
1.1 Zone - MyComputer: FullTrust
1.2. Zone — Intranet: LocalIntranet
1.2.1. All code: Same site Socket and Web.
1.2.2. All code: Same directory FileIO - Read, PathDiscovery
1.3. Zone - Internet: Internet
1.3.1. All code: Same site Socket and Web.
1.4. Zone — Untrusted: Nothing
1.5. Zone — Trusted: Internet
1.5.1. All code: Same site Socket and Web.
…
После получения метки группы кода Intranet вводим вторую команду, чтобы изменить полномочия группы кода:
caspol.exe -chggroup 1.2 FullTrust
Команда будет запрашивать подтверждение изменения политики системы безопасности, и если теперь снова выполнить команду caspol.exe -listgroups, можно будет увидеть, что полномочие в конце строки Intranet изменилось на FullTrust:
Code Groups:
1. All code: Nothing
1.1. Zone - MyComputer: FullTrust
1.2. Zone - Intranet: FullTrust
1.2.1. All code: Same site Socket and Web.
1.2.2. All code: Same directory FileIO - Read, PathDiscovery
1.3. Zone - Internet: Internet
1.3.1. All code: Same site Socket and Web.
1.4. Zone — Untrusted: Nothing
1.5. Zone - Trusted: Internet
1.5.1. All code: Same site Socket and Web.
…
Создание и применение множеств полномочий
Можно создавать новые множества полномочий с помощью команды:
caspol.exe -addpset CustomPermissionSet permissionset.xml
Эта команда определяет, что создается новое множество полномочий с именем CustomPermissionSet на основе содержимого указанного файла XML. Файл XML должен содержать стандартный формат, определяющий PermissionSet. Для справки здесь представлен файл множества полномочий для множества полномочий Everything, который можно сократить до требуемых размеров:
<PermissionSet class="NamedPermissionSet" version="1" Name="Everything"
Description="Allows unrestricted access to all resources covered by built in permissions">
<IPermission class="EnvironmentРеrmission" version="1" Unrestricted="true" />
<IPermission class="FileDialogPermission" version="1" Unrestricted="true" />
<IPermission class="FileIOPermission" version="1" Unrestricted="true" />
<IPermission class="IsolatedStorageFilePermission" version="1" Unrestricted="true" />
<IPermission class="ReflectionPermission" version="1" Unrestricted="true" />
<IPermission class="RegistryPermission" version="1" Unrestricted="true" />
<IPermission class="SecurityPermission" version="1"
Flags="Assertion, UnmanagedCode, Execution, ControlThread, ControlEvidence, ControlPolicy, SerializationFormatter, ControlDomainPolicy, ControlPrincipal, ControlAppDomain, RemotingConfiguration, Infrastructure" />
<IPermission class="UIPermission" version="1" Unrestricted="true" />
<IPermission class= "DnsPermission" version="1" Unrestricted="true" />
<IPermission class="PrintingPermission" version="1" Unrestricted="true" />
<IPermission class="EventLogPermission" version="1" Unrestricted="true" />
<IPermission class="SocketPermission" version="1" Unrestricted="true" />
<IPermission class="WebPermission" version="1" Unrestricted="true" />
<IPermission class="PerformanceCounterPermission" version="1" "Unrestricted="true" />
<IPermission class="DirectoryServicesPermission" version="1" Unrestricted="true" />
<IPermission class="MessageQueuePermission" version="1" Unrestricted="true" />
<IPermission class="ServiceControllerPermission" version="1" Unrestricted="true" />
</PermissionSet>
Чтобы увидеть все множества полномочий в формате XML, можно использовать команду:
caspol.exe -listpset
При желании применить конфигурационный файл PermissionSet XML к существующему множеству полномочий можно использовать команду:
caspol.exe -chgpset permissionset.xml CustomPermissionSet
Распространение кода с помощью строгого имени
.NET предоставляет возможность сопоставить сборку с группой кода, когда идентичность и целостность сборки подтверждена с помощью строгого имени. Этот сценарий широко используется при распространении сборок через сети, например распространение программного обеспечения через Интернет.
Если компания, производящая программное обеспечение, желает предоставить код своим заказчикам через Интернет, то создается сборка и для нее задается устойчивое имя. Устойчивое имя гарантирует, что сборка может быть идентифицирована уникальным образом, и также предоставляет защиту против подделки. Заказчики могут встроить это устойчивое имя в свою политику системы безопасности доступа к коду, а сборке, которая соответствует этому уникальному устойчивому имени, затем явно присвоить полномочия. Как мы видели в главе о сборках, устойчивое имя включает контрольные суммы для хэш-значений всех файлов в сборке, поэтому имеется строгое подтверждение, что сборка не была изменена с момента создания издателем устойчивого имени.
Отметим, что, если приложение использует программу установки, то эта программа будет устанавливать сборки, для которых уже задано устойчивое имя. Устойчивое имя создается однажды для каждого дистрибутива перед отправкой заказчику, программа установки не выполняет такие команды. Причина заключается в том, что устойчивое имя предоставляет гарантию, что сборка не была модифицирована с момента отправки из компании. Обычный способ достичь этого состоит в предоставлении заказчику не только кода приложения, но также отдельно — копию устойчивого имени сборки. Может оказаться полезным передавать устойчивое имя заказчику с помощью защищенной формы (возможно, факс или зашифрованное сообщение e-mail), чтобы защитить сборку от подделки в пути.
Давайте рассмотрим пример, где мы хотим создать сборку с устойчивым именем, которую можно распространять таким образом, чтобы получатель сборки смог использовать устойчивое имя для предоставления полномочия FullTrust.
Прежде всего необходимо создать пару ключей, так как устойчивые имена используют криптографию с открытым ключом. Открытый и закрытый ключи хранятся в указанном файле и используются для подписи устойчивого имени. Чтобы создать два ключа, используется sn.exe (Strong Name Tool — утилита устойчивого имени), которая помимо помощи в создании ключей, может также использоваться для управления ключами и устойчивыми именами. Попробуем создать ключ, для чего введем команду:
sn.exe -k key.snk
Затем файл с ключами (key.snk в данном случае) поместим в ту же папку, где Visual Studio создает файл вывода (обычно папка Debug), а затем ключ добавим в код с помощью атрибута сборки. Когда этот атрибут добавлен в AssemblyInfo.cs, остается только заново скомплектовать сборку. Перекомпиляция обеспечивает, новое вычисление хэш-значения и сборка защищается против злонамеренных модификаций:
[assembly: AssemblyKeyFileAttribute("key.snk")]
Итак, наша сборка откомпилирована и подписана, она имеет уникальное идентифицирующее устойчивое имя. Теперь можно создать новую группу кода на машине, где мы хотим выполнить сборку. Эта группа имеет условие членства, которое требует соответствия с устойчивым именем сборки.
Следующая команда утверждает, что мы собираемся создать новую группу кода, используя устойчивое имя из указанного файла манифеста сборки, а также что нас не интересует используемая версия сборки и что группе кода присваиваются полномочия FullTrust:
caspol.exe -addgroup 1 -strong -file bindebugSecurityApp10.exe -noname -noversion FullTrust
Приложение в этом примере будет теперь выполняться из любой зоны, даже зоны Internet, так как устойчивое имя предоставляет достаточное свидетельство того, что сборка является надежной. Просмотрев группы кода с помощью caspol.exe -listgroups, увидим новую группу кода (1.8) и ее ассоциированный открытый ключ (в шестнадцатеричном представлении):
1. All code: Nothing
1.1. Zone — MyComputer: FullTrust
1.2. Zone — Intranet: LocalIntranet
1.2.1. All code: Same site Socket and Web.
1.2.2. All code: Same directory FileIO — Read, PathDiscovery
1.3. Zone — Internet: Internet
1.3.1. All code: Same site Socket and Web.
1.4. Zone — Untrusted: Nothing
1.5. Zone — Trusted: Internet
1.5.1. All code: Same site Socket and Web.
1.6. StrongName —
02400000480000094000000060200000024000052534131000400000100010007D1FA57C4AED9F0A32
E84AA0FAEFD0DE9E8FD6AEC8F87FB03766C834C99921EB23BE79AD9D5DCC1DD9AD236132102900B723
CF980957FC4E177108FC607774F29E8320E92EA05ECE4E821C0A5EFE8F1645C4C0C93C1AB99285D622
CAA652C1DFAD63D745D6F2DE5F17E5EAF0FC4963D261C8A12436518206DC093344D5AD293:
FullTrust
1.7. StrongName - 00000000000000000400000000000000: FullTrust
1.8. StrongName -
00240000048000009400000006020000002400005253413100040000010001007508D0780C56AF85BA
1BAD6D88E2C653E0A836286682C18134CC989546C1143252795A791F042238040F5627CCC1590ECEA3
0A9CD4780F5F0B29B55C375D916A33FD46B14582836E346A316BA27CD555B8F715377422EF589770E5