为什么安全不应该使用强命名呢?
为什么安全不应该使用强命名呢?
提问于 2014-11-28 01:59:43
我在很多地方都读过这篇文章,有人直接告诉我,但是我还没有找到一个关于为什么强大的名字不能用于安全的全部原因的结论性的答案。
我理解强名称特性的意图是标识,而不是安全性,但我正在寻找对安全使用强命名可能导致的任何安全问题的解释。
我想知道:
- 当加载时,CLR在验证程序集的强名称方面所做的是开箱即用的.
- 强命名的特点是什么,使人们试图使用它的安全。
- 强命名的限制使其不适合安全性。
- 我们应该做些什么来实现人们使用强命名的安全性呢?
我不想要的是:
- 强命名与版本控制程序集有关的限制
- 与开放源码软件有关的问题(例如,必须隐藏私钥,这使贡献者很难)
回答 1
Stack Overflow用户
回答已采纳
发布于 2014-11-30 04:52:38
人们告诉您不要为安全性使用强命名的原因(我想您的意思是完整性检查)是因为它不再起作用。
由于.NET 3.5 SP1,.NET程序集加载器不再验证强名称程序集的完整性。如果要防止在磁盘上修改程序集,则必须使用授权码。
这些链接描述了更改、异常及其背后的原因(启动速度):
- http://blogs.msdn.com/b/shawnfa/archive/2008/05/14/strong-name-bypass.aspx
- http://www.outercurve.org/blog/2014/03/25/Strongnaming-I-Do-Not-Think-It-Means-What-You-Thin/
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/27180915
复制相关文章
相似问题
腾讯云开发者
