代码组(2) 成员条件
代码组(2) 成员条件
在创建代码组的过程中,简要熟悉了代码组的成员条件,在安全策略的实施过程中,可以认为,所有符合该代码组成员条件的程序集都属于该代码组。成员条件的实现形式是类型,每种成员条件对应一种类型。
所有代码
“所有代码”表示匹配所有代码的成员条件,该成员条件的实现类是AllMembershipCondition类。该成员条件通常用于策略级别的根代码组,以便将该策略应用于所有代码。AllMembershipCondition的类定义如代码清单4-6所示。
代码清单2-1 AllMembershipCondition类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed classAllMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable
AllMembershipCondition类继承了三个接口:
IMembershipCondition接口:定义测试以确定代码程序集是否是代码组的成员。该接口的Check方法用来确定指定的证据是否能满足成员条件。
ISecurityEncodable接口:定义使权限对象状态与 XML 元素表示形式进行相互转换的方法。任何自定义权限都必须实现此接口。该接口的FromXml方法用 XML 编码重新构造具有指定状态的安全对象,ToXml方法创建安全对象及其当前状态的 XML 编码。
ISecurityPolicyEncodable接口:支持使权限对象状态与 XML 元素表示形式进行相互转换的方法。该接口与 ISecurityEncodable接口相似,不同的是它包含策略级上下文,解析对命名权限集的引用时需要策略级上下文信息。ISecurityPolicyEncodable接口也提供了FromXml和ToXml方法,功能与ISecurityEncodable接口相同。
应用程序目录
“应用程序目录”成员条件通过测试程序集的应用程序目录确定该程序集是否属于代码组。该成员条件的实现类是ApplicationDirectoryMembershipCondition 类,该类定义如代码清单2-2所示。
代码清单2-2 ApplicationDirectoryMembershipCondition 类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed class ApplicationDirectoryMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable
ApplicationDirectoryMembershipCondition可确定 ApplicationDirectory 属性是否包含程序集 URL 证据路径。例如,如果 ApplicationDirectory 是 C:\app1,则具有 URL 证据的程序集(例如 C:\app1、C:\app1\main.aspx、C:\app1\folder1 或 C:\app1\folder1\main1.aspx)符合该成员条件。不在 C:\app1 目录中或其子目录之一中的代码未能通过成员条件测试。没有 ApplicationDirectory 或 URL 证据的代码总是不能通过成员条件测试。
哈希
“哈希”成员条件通过测试程序集的哈希值确定该程序集是否属于代码组。该成员条件的实现类是HashMembershipCondition类,该类的定义如代码清单4-8所示。
代码清单2-3 HashMembershipCondition类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed classHashMembershipCondition : ISerializable, IDeserializationCallback, IMembershipCondition,
ISecurityEncodable, ISecurityPolicyEncodable
HashMembershipCondition类比AllMembershipCondition类多实现了两个接口:
ISerializable接口:允许对象控制其自己的序列化和反序列化过程。
IDeserializationCallback接口:指示在完成整个对象的反序列化时的通知类。
发行者
“发行者”成员条件通过测试程序集的软件发行者 Authenticode X.509v3 证书确定程序集是否属于代码组。该成员条件的实现类是PublisherMembershipCondition类,该类的定义如代码清单2-3所示。
代码清单2-3 PublisherMembershipCondition类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed class PublisherMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable
PublisherMembershipCondition类有一个名为Certificate的公共属性,用类获取或设置要针对其测试成员条件的 Authenticode X.509v3 证书。
站点
“站点”成员条件通过测试从其中产生程序集的站点以确定该程序集是否属于代码组,其中代码可出自 HTTP 站点、HTTPS 站点和 FTP 站点。该成员条件的实现类为SiteMembershipCondition类,该类的定义如代码清单2-4所示。
代码清单2-4 SiteMembershipCondition类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed class SiteMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable
如果该代码源于由 Site 指定的网站,则代码程序集满足站点成员条件。站点是位于 URL 协议标识符后面的“//”和后面的“/”(如果存在)之间的字符串。例如,www.xuanhun.com 是 URL http://www.xuanhun.com/process/grind.htm 的站点标识,这不包括端口号。如果给定的 URL 是 http://www.xuanhun.com:8000/,则站点为 www.xuanhun.com,而非 www.fourthcoffee.com:8000。
站点可以完全匹配,也可以通过在点分隔符位置使用通配符(“*”)前缀进行匹配。例如,站点名称 *.xuanhun.com 与 xuanhun.com 和 www.xuanhun.com 匹配。如果没有通配符,则站点名称必须是精确匹配。站点名称 * 将与所有站点匹配,但不会与无站点证据的代码匹配。
强名称
“强名称”成员条件通过测试程序集的强名称确定该程序集是否属于代码组。该成员条件的实现类为StrongNameMembershipCondition类,该类的定义如代码清单2-5所示。
代码清单2-5 StrongNameMembershipCondition类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed class StrongNameMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable
强名称非常适合于指定你给予了大量的、非常大权限的代码程序集。由于强名称以加密方式验证,所以,攻击者无法模拟合法的程序集和使用它们的权限。
该类提供了三个属性:
Name属性用来获取或设置要针对其测试成员条件的 StrongName 的简单名称。
PublicKey属性用来获取或设置要针对其测试成员条件的 StrongName 的 StrongNamePublicKeyBlob。
Version属性用来获取或设置要针对其测试成员条件的 StrongName 的 Version。
URL
“URL”成员条件通过测试程序集的URL确定该程序集是否属于代码组。该成员条件的实现类是UrlMembershipCondition类,该类的定义如代码清单2-6所示。
代码清单2-6 UrlMembershipCondition类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed classUrlMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable
可以使用完整的 URL作为条件,包括协议(HTTP、HTTPS、FTP)和文件。例如,http://www.fourthcoffee.com/process/grind.htm 就是一个完整的 URL。
也可在最后一个位置使用通配符来匹配。例如,http://www.fourthcoffee.com/process/* 就是一个含通配符的 URL。
UrlMembershipCondition类含有一个公共属性Url用来获取或设置要针对其测试成员条件的 URL。
区域
“区域”成员条件通过测试程序集的原始区域确定该程序集是否属于代码组。该成员条件的实现类为ZoneMembershipCondition类,该类的定义如代码清单2-7所示。
代码清单2-7 ZoneMembershipCondition类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed classZoneMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable
ZoneMembershipCondition类只能在源于特定区域的 .NET 程序集和 Web 服务中使用。例如MyComputer、Intranet 和Internet这些区域。
通过代码访问安全策略工具来更改代码组成员条件的方法如下:
caspol -chggroup 1.2.1. -zone Internet
其中,使用chggroup命令更改标签为1.2.1的代码组的区域为Internet。
仍然可以使用.NET Framework配置工具来修改代码组的成员条件。
作者:玄魂
出处:http://www.cnblogs.com/xuanhun/
原文链接:http://www.cnblogs.com/xuanhun/
更多内容,请访问我的个人站点 对编程,安全感兴趣的,加qq群:hacking-1群:303242737,hacking-2群:147098303,nw.js,electron交流群 313717550。
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
关注我: