AICon日程100%就绪,9折倒计时最后一周 了解详情
写点什么

.NET 3.5 SP1 允许从网络共享环境中运行托管应用程序

  • 2008-08-29
  • 本文字数:1278 字

    阅读完需:约 4 分钟

微软已经发布了.NET Framework 3.5 SP1 ,相对于以前的版本,新版包含了一个安全方面的改进,它允许开发人员从网络共享文件中运行托管应用。

根据微软的官方说明,.NET Framework 3.5 SP1 中有个特性是这样的:

从网络共享文件里打开的托管应用运行时和本地应用拥有一样的行为,即完全信任。

在过去,由于安全的原因,你无法从网络共享环境中运行托管代码。当初之所以在.NET 中引入这个特性,是为了阻止从网络上进行的安全攻击。然而它并没有解决相关的安全威胁,因为非托管代码在这类环境中一直是能够被执行的。

微软程序经理 Brad Adams 最近所做的一个调查显示,很多人都想从网络共享环境中运行托管代码。微软回应了该需求,并在.NET 3.5 SP1 中增加这一特性。

对于这个安全方面的改变,.NET 运行时团队(Runtime Team)的架构师 Vancel Morrison评论说

我们犯了一个错误。在 2001 年,我们以为自己是在“默认即安全”方面的急先锋,也因此固执地认为,最终我们一定能弥补从网络共享文件运行非托管代码的“漏洞”。我们也忽视了这一决定所带来的痛苦。

但是随着时间的推移,我们发现自己太天真了。改变非托管代码行为的收益率太低了,另外,对于安全性来说,更加清楚的一点是,它必须足够简单,也就是说对所有事情一视同仁。因此,如果你不想从网络运行托管代码程序,那么也不应该将非托管代码程序区别对待。

Vance 也认为,由这一改变所引入的安全威胁并不是那么严重:

对于那些认为我们因此而开启安全漏洞之门的人,我想说我们已经非常小心,尽量避免出现这种情况。基本的逻辑是,我们不会产生任何新的漏洞,因为 Windows 允许非托管的可执行文件通过网络共享运行。

Shawn Farkas 是来自 CLR 团队负责密码(Cryptography)类的一名软件工程师,他解释了这一新特性是如何工作的

这一更改的核心思想在于改变了我们处理网络装载应用程序的方式。当我们发现一个直接从网络共享上载入的.exe 文件时,不会认为该文件来自于“本地网络(LocalIntranet)”,而是认为它来自于“我的电脑(MyComputer)”。这使该.exe 文件会和默认的“我的电脑”代码群组相匹配,而不是和“本地网络”群组,而默认的 CAS 策略也会授权“我的电脑”代码群组为“完全信任(FullTrust)”。

对于那些想禁止通过网络运行托管代码的人,Shawn 提出了如下建议:

你可以在注册表里的 HKLM\Software\Microsoft\.NETFramework 键处,将 DWORD 格式的 LegacyMyComputerZone 值设为 1。

根据 Shawn 的说法,在以下的场景里,程序集会拥有运行的权限:

  1. 任何直接从网络共享文件装载的托管.exe 文件;
  2. 任何从与.exe 文件同一目录装载的.exe 流程中的程序集。

在下面的场景里,程序集没有运行的权限:

  1. 从载入.exe 文件的共享文件子目录装载的程序集;
  2. 从不含有主.exe 文件的共享文件中装载的程序集;
  3. 任何装载在 LegacyMyComputer 注册值设为 1 的机器上的程序集;
  4. 任何装载到 CLR 宿主文件的程序集,包括以控件的形式装载到 IE 中的程序集;
  5. 当某个应用是从“真正的”我的电脑位置载入时,任何被该应用从共享文件装载的程序集。

查看英文原文:.NET 3.5 SP1 Runs Managed Applications From Network Shares

2008-08-29 04:15987
用户头像

发布了 827 篇内容, 共 320.3 次阅读, 收获喜欢 26 次。

关注

评论

发布
暂无评论
发现更多内容

Week01 作业

Conn

Raft探索历程--Part1

老胡爱分享

分布式协同 raft

设计模式学习总结

qihuajun

第二周学习总结

任小龙

邮件领域还有创新吗?

池建强

创业 软件 创新 邮件

如何搭建一个本地服务器集群

Rayjun

分布式

架构师训练营 -week3 命题作业

J.Smile

极客大学架构师训练营

数字政府升级下的数据产品探索

数据司令

大数据 政务信息化 数字政务

易纲:上海可以在人民币自由兑换等方面先行先试

CECBC

数字货币 区块链技术 金融科技中心

Spring 源码学习 - @Async注解实现原理

Geek_k6ry2n

Spring Boot aop

架构师训练营第 3 周 _ 课后作业

方舟勇士

课程作业

模式与重构

满山李子

单例及组合模式实践

WulalaOlala

设计模式 极客大学架构师训练营

Week 03 学习总结 代码重构

Z冰红茶

架构师训练营第三周作业

张锐

架构师面试题(2)

满山李子

Feign Client 原理和使用

Geek_k6ry2n

Spring Boot HTTP

第三周作业

Geek_5d0795

极客大学架构师训练营

week3 命题作业

任小龙

「架构师训练营」第 3 周作业

邓江川。

第三章总结

每周学习总结

Conn

极客大学架构师训练营

架构师训练营 第3周作业

Lingjun

极客大学架构师训练营

重学设计模式之单例模式

设计模式 单例模式 Singleton

第三周总结

Geek_5d0795

极客大学架构师训练营

week3 总结

雪涛公子

创业公司技术体系建设

星际行者

Kubernetes DevOps APM 基础设施

设计模式-单例&组合

Z冰红茶

week3 作业

雪涛公子

架构师训练营 第3周总结

Lingjun

极客大学架构师训练营

区块链中的“链上”和“链下”

CECBC

区块链技术 分布式身份标识 难以篡改

.NET 3.5 SP1允许从网络共享环境中运行托管应用程序_.NET_Abel Avram_InfoQ精选文章