代码组(2) 成员条件

代码组(2) 成员条件

在创建代码组过程中,简要熟悉代码组成员条件,在安全策略实施过程中,可以认为,所有符合该代码组成员条件程序集都属于该代码组。成员条件实现形式是类型,每种成员条件对应一种类型。

所有代码

“所有代码”表示匹配所有代码成员条件,该成员条件实现类是AllMembershipCondition类。该成员条件通常用于策略级别根代码组,以便将该策略应用于所有代码。AllMembershipCondition类定义如代码清单4-6所示。

代码清单2-1  AllMembershipCondition类定义

[SerializableAttribute]

[ComVisibleAttribute(true)]

public sealed classAllMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable

AllMembershipCondition类继承三个接口:

IMembershipCondition接口:定义测试以确定代码程序集是否是代码组成员。该接口Check方法用来确定指定证据是否能满足成员条件。

ISecurityEncodable接口:定义使权限对象状态与 XML 元素表示形式进行相互转换方法。任何自定义权限都必须实现此接口。该接口FromXml方法用 XML 编码重新构造具有指定状态安全对象,ToXml方法创建安全对象及其当前状态 XML 编码。

ISecurityPolicyEncodable接口:支持使权限对象状态与 XML 元素表示形式进行相互转换方法。该接口与 ISecurityEncodable接口相似,不同是它包含策略级上下文,解析对命名权限集引用时需要策略级上下文信息。ISecurityPolicyEncodable接口也提供FromXmlToXml方法,功能与ISecurityEncodable接口相同。

应用程序目录

“应用程序目录”成员条件通过测试程序集应用程序目录确定该程序集是否属于代码组。该成员条件实现类是ApplicationDirectoryMembershipCondition 类,该类定义如代码清单2-2所示。

代码清单2-2  ApplicationDirectoryMembershipCondition 类定义

[SerializableAttribute]

[ComVisibleAttribute(true)]

public sealed class ApplicationDirectoryMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable

ApplicationDirectoryMembershipCondition可确定 ApplicationDirectory 属性是否包含程序集 URL 证据路径。例如,如果 ApplicationDirectory C:\app1,则具有 URL 证据程序集(例如 C:\app1C:\app1\main.aspxC:\app1\folder1 C:\app1\folder1\main1.aspx)符合该成员条件。不在 C:\app1 目录中或其子目录之一中代码未能通过成员条件测试。没有 ApplicationDirectory URL 证据代码总是不能通过成员条件测试。

哈希

“哈希”成员条件通过测试程序集哈希值确定该程序集是否属于代码组。该成员条件实现类是HashMembershipCondition类,该类定义如代码清单4-8所示。

代码清单2-3  HashMembershipCondition类定义

[SerializableAttribute]

[ComVisibleAttribute(true)]

public sealed classHashMembershipCondition : ISerializable, IDeserializationCallback, IMembershipCondition,

    ISecurityEncodable, ISecurityPolicyEncodable

HashMembershipCondition类比AllMembershipCondition类多实现两个接口:

ISerializable接口:允许对象控制其自己序列化和反序列化过程。

IDeserializationCallback接口:指示在完成整个对象反序列化时通知类。

发行者

“发行者”成员条件通过测试程序集软件发行者 Authenticode X.509v3 证书确定程序集是否属于代码组。该成员条件实现类是PublisherMembershipCondition类,该类定义如代码清单2-3所示。

代码清单2-3 PublisherMembershipCondition类定义

[SerializableAttribute]

[ComVisibleAttribute(true)]

public sealed class PublisherMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable

PublisherMembershipCondition类有一个名为Certificate公共属性,用类获取或设置要针对其测试成员条件 Authenticode X.509v3 证书。

站点

“站点”成员条件通过测试从其中产生程序集站点以确定该程序集是否属于代码组,其中代码可出自 HTTP 站点、HTTPS 站点和 FTP 站点。该成员条件实现类为SiteMembershipCondition类,该类定义如代码清单2-4所示。

代码清单2-4  SiteMembershipCondition类定义

[SerializableAttribute]

[ComVisibleAttribute(true)]

public sealed class SiteMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable

如果该代码源于由 Site 指定网站,则代码程序集满足站点成员条件。站点是位于 URL 协议标识符后面“//”和后面“/”(如果存在)之间字符串。例如,www.xuanhun.com URL http://www.xuanhun.com/process/grind.htm 站点标识,这不包括端口号。如果给定 URL http://www.xuanhun.com:8000/,则站点为 www.xuanhun.com,而非 www.fourthcoffee.com:8000

站点可以完全匹配,也可以通过在点分隔符位置使用通配符(“*”)前缀进行匹配。例如,站点名称 *.xuanhun.com xuanhun.com www.xuanhun.com 匹配。如果没有通配符,则站点名称必须是精确匹配。站点名称 * 将与所有站点匹配,但不会与无站点证据代码匹配。

强名称

强名称”成员条件通过测试程序集强名称确定该程序集是否属于代码组。该成员条件实现类为StrongNameMembershipCondition类,该类定义如代码清单2-5所示。

代码清单2-5  StrongNameMembershipCondition类定义

[SerializableAttribute]

[ComVisibleAttribute(true)]

public sealed class StrongNameMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable

强名称非常适合于指定给予大量、非常大权限代码程序集。由于强名称以加密方式验证,所以,攻击者无法模拟合法程序集和使用它们权限。

该类提供三个属性:

Name属性用来获取或设置要针对其测试成员条件 StrongName 简单名称。

PublicKey属性用来获取或设置要针对其测试成员条件 StrongName StrongNamePublicKeyBlob

Version属性用来获取或设置要针对其测试成员条件 StrongName Version

URL

URL”成员条件通过测试程序集URL确定该程序集是否属于代码组。该成员条件实现类是UrlMembershipCondition类,该类定义如代码清单2-6所示。

代码清单2-6 UrlMembershipCondition类定义

[SerializableAttribute]

[ComVisibleAttribute(true)]

public sealed classUrlMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable

可以使用完整 URL作为条件,包括协议(HTTPHTTPSFTP)和文件。例如,http://www.fourthcoffee.com/process/grind.htm 就是一个完整 URL

也可在最后一个位置使用通配符来匹配。例如,http://www.fourthcoffee.com/process/* 就是一个含通配符 URL

UrlMembershipCondition类含有一个公共属性Url用来获取或设置要针对其测试成员条件 URL

区域

“区域”成员条件通过测试程序集原始区域确定该程序集是否属于代码组。该成员条件实现类为ZoneMembershipCondition类,该类定义如代码清单2-7所示。

代码清单2-7  ZoneMembershipCondition类定义

[SerializableAttribute]

[ComVisibleAttribute(true)]

public sealed classZoneMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable

ZoneMembershipCondition类只能在源于特定区域 .NET 程序集和 Web 服务中使用。例如MyComputerIntranet Internet这些区域。

通过代码访问安全策略工具来更改代码组成员条件方法如下:

caspol -chggroup 1.2.1. -zone Internet

其中,使用chggroup命令更改标签为1.2.1代码组区域为Internet

仍然可以使用.NET Framework配置工具来修改代码组成员条件。

 

posted @ 2012-06-23 17:29  玄魂  阅读(638)  评论(0编辑  收藏  举报