Tartalomjegyzék:
- Meghatározás - Mit jelent a Code Access Security (CAS)?
- A Techopedia elmagyarázza a Code Access Security (CAS) biztonságát
Meghatározás - Mit jelent a Code Access Security (CAS)?
A kódhozzáférés biztonsága (CAS) egy olyan biztonsági mechanizmus, amellyel a .NET-keretrendszer közös nyelvi futásiideje (CLR) korlátozhatja a kezelt kódot korlátozott engedélyekkel végzett műveletek végrehajtására.
A CAS végrehajtja a .NET-keretrendszer biztonsági politikáját azáltal, hogy megakadályozza a védett erőforrásokhoz és műveletekhez való jogosulatlan hozzáférést. A hagyományos biztonsági módszerektől eltérően, ahol a felhasználói hitelesítő adatokat a felhasználótól szerezzék be, a CAS célja, hogy megoldja azokat a problémákat, amelyekkel hibákat és sebezhetőségeket tartalmazó külső forrásokból származnak kódok. Ezek a hibák és sebezhetőségek a felhasználó rendszerét érzékenyvé tehetik a rosszindulatú kódokkal szemben, amelyek feladatokat végezhetnek anélkül, hogy a felhasználó tudná. A CAS valójában csak azokat a műveleteket ismeri és engedélyezi, amelyeket egy adott felhasználói kód végrehajthat és nem tud végrehajtani. Ez a szolgáltatás alkalmazható minden, a CLR-t célzó kezelt kódra.
A CAS bizonyítékokon alapuló biztonságot nyújt, amely a Windows operációs rendszer által biztosított biztonság feletti rétegre épül. Míg a Windows a felhasználó engedélyén alapul, addig a CAS a szerelés bizonyítékán alapul. Az összeszerelés tartalmazza a biztonsági házirendben meghatározott engedélyeket és alapul szolgál a kód végrehajtásához a szükséges műveletek végrehajtásához.
A Techopedia elmagyarázza a Code Access Security (CAS) biztonságát
A CAS többek között a következő elemekre épül:
- Engedélyek: Ezek az alapvető jogok a védett erőforrások eléréséhez vagy a védett műveletek végrehajtásához.
- Engedélykészlet: Ez egy engedélykészlet, például "teljes bizalom", "semmi", "Internet", "helyi intranet" és mások.
- Kódcsoport: Ez a kód logikus csoportosítása egy meghatározott tagsági feltétellel, például LocalIntranet_zone és Internet_zone.
- Bizonyítékok: Ez az összeszereléssel kapcsolatos információk, például az alkalmazás könyvtára, a kiadó, az URL és a biztonsági zóna.
- Biztonsági házirend: Ez egy szabálykészlet, amelyet egy adminisztrátor állít össze, hogy meghatározza a kódhoz megadott engedélyeket, hierarchikusan kifejezve négy szinten vállalati, gép, felhasználói és alkalmazástartományként.
A kódvégrehajtó privilegizált művelet a CLR-nek egy vagy több engedélyt igényel. A tényleges engedély kiszámításához a kódcsoportokban beállított engedély unióját, majd házirend-szintű kereszteződést kell használni. A CLR biztosítja, hogy a megkövetelt engedélyek a megadott engedélyekben szerepeljenek az összeállítás módszerénél. Ha engedélyt nem adnak meg, biztonsági kivételt dobnak.
A CAS két biztonsági módot biztosít a kód engedélyeinek meghatározásához:
- A deklaratív biztonságot úgy végezzük, hogy a biztonsági attribútumokat meghatározzuk a közgyűlés, az osztály vagy a tag szintjén. Deklaratív módot akkor használunk, amikor a hívásokat összeállítási időben kell értékelni.
- A kötelező biztonság futási módszer hívásokat használ a biztonsági osztályok példányainak létrehozásához. Imperatív mód akkor használatos, ha a hívásokat futási időnként kell értékelni.
A CAS korlátozásai vannak, ideértve egy másik rendszerbe áthelyezett alkalmazás hibás működését, ha a biztonsági házirend eltér. Ezenkívül nincs ellenőrzés a nem kezelt kódok és az alkalmazások fejlesztésének ellenőrzése sem a felhasználói rendszerek biztonsági beállításainak különböző forgatókönyveinek kielégítése érdekében.
A CAS finomabb biztonsági technológiájának hatékony felhasználása érdekében a fejlesztőknek írniuk kell a típusbiztonsági kódot, deklarációs vagy imperatív szintaxist kell használniuk a kontextus alapján, kérniük kell a futtatáshoz szükséges engedélyeket a kód futtatásához, és biztonságos könyvtárakat kell használniuk.
