Thuộc tính chỉ-đọc Evidence của lớp Assembly trả về một đối tượng tập hợp Evidence chứa tất cả các đối tượng chứng cứ mà bộ thực thi đã gán cho assembly khi assembly này được nạp.. Lớp E
Trang 11.1 Hạn chế ai đó thừa kế các lớp của bạn
và chép đè các thành viên lớp
V Bạn cần kiểm soát những ai có thể thừa kế các lớp của bạn thông qua sự thừa
kế (inheritance) và một lớp dẫn xuất có thể chép đè những thành viên nào
# Sử dụng các lệnh bảo mật khai báo (declarative security statement) để áp dụng
thành viên SecurityAction.InheritanceDemand vào phần khai báo của các lớp
và các thành viên bạn cần bảo vệ
Các modifier như sealed, public, private, và virtual cho phép bạn kiểm soát khả năng của các lớp khác khi các lớp này thừa kế lớp của bạn và chép đè các thành viên của nó Tuy nhiên, các modifier này không linh hoạt, không có khả năng chọn lọc khi giới hạn những
mã lệnh nào có thể thừa kế một lớp hoặc chép đè các thành viên của nó Ví dụ, bạn muốn chỉ những mã lệnh do công ty hay khoa của bạn viết thì mới có thể thừa kế các lớp nghiệp vụ quan trọng, hoặc chỉ những mã lệnh được nạp từ máy cục bộ thì mới có thể thừa kế các phương thức nào đó Bằng cách áp dụng InheritanceDemand vào khai báo lớp hay thành viên, bạn có thể chỉ định các quyền (lúc thực thi) mà một lớp phải có thì mới có thể thừa kế lớp của bạn hoặc chép đè các thành viên cụ thể nào đó Nhớ rằng, các quyền của một lớp là các quyền của assembly mà lớp này được khai báo trong đó
Mặc dù bạn có thể yêu cầu bất kỳ quyền hay tập quyền nào trong InheritanceDemand,
nhưng thông thường là yêu cầu các quyền định danh (identity permission) Quyền định danh mô tả chứng cứ (evidence) do một assembly đưa cho bộ thực thi Nếu một assembly
đưa ra các kiểu chứng cứ nào đó lúc nạp, bộ thực thi sẽ tự động gán cho assembly này quyền định danh phù hợp Quyền định danh cho phép bạn sử dụng các lệnh bảo mật bắt
buộc và khai báo (imperative và declarative security statement) để trực tiếp ra các quyết định bảo mật (security decision) căn cứ trên định danh mã (code identity) mà không cần
trực tiếp đánh giá các đối tượng chứng cứ Bảng 13-1 liệt kê kiểu quyền định danh được tạo cho mỗi kiểu chứng cứ (kiểu chứng cứ là thành viên của không gian tên System.Security.Policy, kiểu quyền định danh là thành viên của không gian tên System.Security.Permissions)
Bảng 13.1 Các lớp chứng cứ và các quyền định danh
Lớp chứng cứ Quyền định danh
ApplicationDirectory Không
Hash Không
Publisher PublisherIdentityPermission
Site SiteIdentityPermission
Trang 2StrongName StrongNameIdentityPermission
Url UrlIdentityPermission
Zone ZoneIdentityPermission
# Bộ thực thi gán các quyền định danh cho một assembly dựa trên chứng cứ do assembly này đưa ra Bạn không thể gán thêm quyền định danh cho một assembly thông qua việc cấu hình chính sách bảo mật
Bạn phải sử dụng cú pháp bảo mật khai báo (declarative security syntax) để hiện thực một InheritanceDemand, nên bạn phải sử dụng bản sao đặc tính (attribute counterpart)
của lớp quyền mà bạn muốn yêu cầu Tất cả các lớp quyền đều có một bản sao đặc tính
để tạo các lệnh bảo mật khai báo—bao gồm InheritanceDemand Ví dụ, bản sao đặc tính của PublisherIdentityPermission là PublisherIdentityPermissionAttribute, và bản sao đặc tính của StrongNameIdentityPermission là StrongNameIdentityPermissionAttribute—tất
cả các quyền và các bản sao đặc tính của chúng cùng theo quy ước đặt tên và là các thành viên của cùng không gian tên
Để kiểm soát những mã lệnh nào có thể thừa kế lớp của bạn, hãy áp dụng InheritanceDemand khi khai báo lớp Đoạn mã dưới đây trình bày một lớp được bảo vệ bằng InheritanceDemand Theo đó, chỉ những lớp bên trong các assembly được ký bởi
publisher-certificate (nằm trong file pubcert.cer) thì mới có thể thừa kế lớp InheritanceDemandExample Nội dung của file pubcert.cer được đọc lúc biên dịch, và
các thông tin chứng thực cần thiết được gắn vào assembly
[PublisherIdentityPermission(SecurityAction.InheritanceDemand,
CertFile = @"I:\CSharp\Chuong13\pubcert.cer")]
public class InheritanceDemandExample {
§
}
Để kiểm soát những mã lệnh nào có thể chép đè các thành viên nào đó, bạn hãy áp dụng InheritanceDemand khi khai báo thành viên Xét đoạn mã dưới đây, chỉ những lớp được cấp tập quyền FullTrust thì mới có thể chép đè phương thức SomeProtectedMethod [PermissionSet(SecurityAction.InheritanceDemand, Name="FullTrust")]
public void SomeProtectedMethod () {
§
}
1.2 Kiểm tra chứng cứ của một assembly
V Bạn cần kiểm tra chứng cứ mà bộ thực thi đã gán cho một assembly
Trang 3# Thu lấy đối tượng System.Reflection.Assembly mô tả assembly mà bạn quan tâm Lấy tập hợp System.Security.Policy.Evidence từ thuộc tính Evidence của đối tượng Assembly, rồi truy xuất các đối tượng chứng cứ bên trong bằng phương thức GetEnumerator, GetHostEnumerator, hay GetAssemblyEnumerator của lớp Evidence
Lớp Evidence mô tả một tập hợp các đối tượng chứng cứ Thuộc tính chỉ-đọc Evidence của lớp Assembly trả về một đối tượng tập hợp Evidence chứa tất cả các đối tượng chứng
cứ mà bộ thực thi đã gán cho assembly khi assembly này được nạp
Thật ra, lớp Evidence chứa hai tập hợp, mô tả hai kiểu chứng cứ khác nhau: chứng cứ
host và chứng cứ assembly Chứng cứ host bao gồm các đối tượng chứng cứ được gán
cho assembly bởi bộ thực thi hay mã lệnh đã nạp assembly (mã lệnh này là đáng tin cậy)
Chứng cứ assembly mô tả các đối tượng chứng cứ tùy biến được nhúng vào assembly lúc
tạo dựng Lớp Evidence hiện thực ba phương thức sau đây để liệt kê các đối tượng chứng
cứ bên trong:
• GetEnumerator
• GetHostEnumerator
• GetAssemblyEnumerator
Phương thức GetEnumerator trả về một System.Collections.IEnumerator dùng để liệt kê tất cả các đối tượng chứng cứ bên trong tập hợp Evidence Phương thức GetHostEnumerator và GetAssemblyEnumerator trả về một thể hiện IEnumerator liệt kê chỉ các đối tượng chứng cứ từ tập hợp tương ứng
Ví dụ dưới đây trình bày cách hiển thị chứng cứ host và chứng cứ assembly của một
assembly Chú ý rằng, tất cả các lớp chứng cứ chuẩn đều chép đè phương thức Object.ToString để biểu diễn trạng thái của đối tượng chứng cứ Mặc dù có liên quan nhưng không phải lúc nào ví dụ này cũng hiển thị chứng cứ mà một assembly sẽ có khi
được nạp từ bên trong chương trình của bạn Runtime host (như Microsoft ASP.NET hay
Microsoft Internet Explorer runtime host) có thể tự ý gán thêm chứng cứ host khi nó nạp
một assembly
using System;
using System.Reflection;
using System.Collections;
using System.Security.Policy;
public class ViewEvidenceExample {
public static void Main(string[] args) {
// Nạp assembly đã được chỉ định
Assembly a = Assembly.LoadFrom(args[0]);
Trang 4// Thu lấy tập hợp Evidence từ assembly đã được nạp
Evidence e = a.Evidence;
// Hiển thị chứng cứ host
IEnumerator x = e.GetHostEnumerator();
Console.WriteLine("HOST EVIDENCE COLLECTION:");
while(x.MoveNext()) {
Console.WriteLine(x.Current.ToString());
}
// Hiển thị chứng cứ assembly
x = e.GetAssemblyEnumerator();
Console.WriteLine("ASSEMBLY EVIDENCE COLLECTION:");
while(x.MoveNext()) {
Console.WriteLine(x.Current.ToString());
}
}
}
Tất cả các lớp chứng cứ chuẩn do NET Framework cấp đều bất biến, bạn không thể thay
đổi các giá trị của chúng sau khi bộ thực thi đã tạo ra rồi gán chúng cho assembly Ngoài
ra, bạn không thể thêm hay loại bỏ các item trong lúc đang liệt kê một tập hợp bằng IEnumerator, nếu không, phương thức MoveNext sẽ ném ngoại lệ System.InvalidOperationException
V Bạn cần xử lý chứng cứ khi nạp một assembly để tác động đến các quyền mà
bộ thực thi cấp cho assembly
# Tạo các đối tượng chứng cứ mà bạn muốn gán cho assembly, sau đó thêm chúng vào một thể hiện của lớp System.Security.Policy.Evidence, rồi truyền tập hợp Evidence cho phương thức dùng để nạp assembly
Chứng cứ (được chiếm hữu bởi một assembly) định nghĩa định danh (identity) của
assembly và xác định bộ thực thi cấp các quyền nào cho assembly Bộ nạp assembly
(Assembly Loader) chịu trách nhiệm chính trong việc xác định gán chứng cứ gì cho một assembly, nhưng một host đáng tin cậy (như ASP.NET hay Internet Explorer runtime
host) cũng có thể gán chứng cứ cho một assembly Mã lệnh của bạn có thể gán chứng cứ
khi nạp một assembly nếu mã lệnh này có phần tử ControlEvidence của SecurityPermission
Trang 5# Nếu bạn nạp một assembly vào một miền ứng dụng hai lần nhưng gán chứng
cứ khác vào assembly này mỗi lần như thế, bộ thực thi sẽ ném ngoại lệ System.IO.FileLoadException
Có nhiều phương thức thực hiện việc gán chứng cứ khi nạp một assembly Một đặc điểm
mà tất cả các phương thức này thường có là nhận một tập hợp Evidence làm đối số—lớp Evidence là một bộ chứa cho các đối tượng chứng cứ Bạn phải đặt từng đối tượng chứng
cứ mà bạn muốn gán cho assembly vào một tập hợp Evidence và truyền nó cho phương thức nạp assembly Nếu bạn gán chứng cứ mới xung đột với chứng cứ được gán bởi bộ nạp assembly, chứng cứ mới sẽ thay thế chứng cứ cũ Bảng 13-2 liệt kê các lớp và các phương thức của chúng trực tiếp hay gián tiếp nạp một assembly Mỗi phương thức cung cấp một hay nhiều phiên bản nạp chồng chấp nhận một tập hợp Evidence
Bảng 13.2 Các lớp và các phương thức của chúng cho phép bạn gán chứng cứ cho một
assembly
Lớp/Phương thức Mô tả
Lớp System.Activator Các phương thức này ảnh hưởng đến miền ứng dụng hiện hành CreateInstance
CreateInstanceFrom Tạo một kiểu trong miền ứng dụng hiện hành từ assembly được chỉ định
Lớp System.AppDomain Các phương thức này ảnh hưởng đến miền ứng dụng được mô tả bởi đối tượng AppDomain
(phương thức được gọi trên đó)
CreateInstance
CreateInstanceAndUnwrap
CreateInstanceFrom
CreateInstanceFromAndUnwrap
Tạo một kiểu từ assembly được chỉ định
DefineDynamicAssembly Tạo một đối tượng System.Reflection.Emit AssemblyBuilder, bạn có thể sử dụng nó để tạo
động một assembly trong bộ nhớ
ExecuteAssembly Nạp và thực thi một assembly có điểm nhập đã
được định nghĩa (phương thức Main)
Load Nạp assembly được chỉ định
Lớp System.Reflection.Assembly Các phương thức này ảnh hưởng đến miền ứng dụng hiện hành
Trang 6Load LoadFile LoadFrom
LoadWithPartialName
Nạp assembly được chỉ định
Đoạn mã dưới đây trình bày cách sử dụng phương thức Assembly.Load để nạp một assembly vào miền ứng dụng hiện hành Trước khi gọi Load, đoạn mã này tạo một tập hợp Evidence và sử dụng phương thức AddHost của nó để thêm các đối tượng chứng cứ Site và Zone (các thành viên của không gian tên System.Security.Policy)
// Tạo các đối tượng chứng cứ Site và Zone mới
System.Security.Policy.Site siteEvidence = new
System.Security.Policy.Site("www.microsoft.com");
System.Security.Policy.Zone zoneEvidence = new
System.Security.Policy.Zone(System.Security.SecurityZone.Trusted);
// Tạo một tập hợp Evidence mới
System.Security.Policy.Evidence evidence =
new System.Security.Policy.Evidence();
// Thêm các đối tượng chứng cứ Site và Zone vào tập hợp Evidence
// bằng phương thức AddHost
evidence.AddHost(siteEvidence);
evidence.AddHost(zoneEvidence);
// Nạp assembly có tên là "SomeAssembly" và gán các đối tượng Site và
// Zone cho nó Các đối tượng này sẽ chép đè các đối tượng Site và Zone
// do bộ nạp assembly gán
System.Reflection.Assembly assembly =
System.Reflection.Assembly.Load("SomeAssembly", evidence);
1.4 Xử lý bảo mật bộ thực thi bằng chứng cứ của miền ứng dụng
V Bạn cần buộc một giới hạn trên (upper limit) lên các quyền đang có hiệu lực với
tất cả các assembly được nạp vào một miền ứng dụng cụ thể
# Cấu hình chính sách bảo mật để cấp các quyền phù hợp dựa trên chứng cứ mà bạn dự định gán cho miền ứng dụng Khi tạo miền ứng dụng bằng phương thức tĩnh CreateDomain của lớp System.AppDomain, bạn hãy cung cấp một tập hợp System.Security.Policy.Evidence chứa các đối tượng chứng cứ của
Trang 7miền ứng dụng Sau đó, nạp các assembly mà bạn muốn giới hạn các quyền của chúng bên trong miền ứng dụng này
Đúng như bộ thực thi gán quyền cho assembly dựa trên chứng cứ mà assembly này đưa
ra lúc nạp, bộ thực thi cũng gán quyền cho các miền ứng dụng dựa trên chứng cứ của chúng Bộ thực thi không gán chứng cứ cho các miền ứng dụng theo cách như nó gán cho các assembly vì không có gì để chứng cứ đó tựa vào Thay vào đó, mã lệnh tạo miền ứng dụng phải gán chứng cứ khi cần
# Bộ thực thi chỉ sử dụng các mức chính sách công ty (enterprise), máy (machine),
và người dùng (user) để tính các quyền của một miền ứng dụng; các chính sách
bảo mật của các miền ứng dụng hiện có không giữ vai trò gì cả Mục 13.12 sẽ thảo luận chính sách bảo mật miền ứng dụng
Các miền ứng dụng không có chứng cứ là trong suốt đối với các cơ chế bảo mật truy xuất
mã lệnh của bộ thực thi Các miền ứng dụng được gán chứng cứ có một grant-set dựa trên chính sách bảo mật và đóng một vai trò quan trọng trong việc phân giải các yêu cầu bảo
mật CAS Khi quá trình thực thi ứng dụng xuyên qua một biên miền ứng dụng, bộ thực thi
ghi lại việc chuyển tiếp trên call stack Khi một yêu cầu bảo mật gây nên một stack walk, bản ghi chuyển tiếp miền ứng dụng được xử lý giống như các bản ghi stack khác—bộ thực thi đánh giá grant-set kết giao với bản ghi stack để bảo đảm nó chứa các quyền được yêu cầu Điều này nghĩa là các quyền của một miền ứng dụng ảnh hưởng đến tất cả mã lệnh được nạp vào miền ứng dụng Thực tế, miền ứng dụng thiết lập một giới hạn trên lên các khả năng của tất cả mã lệnh được nạp vào nó
Một ví dụ quan trọng trong sử dụng chứng cứ miền ứng dụng là Microsoft Internet
Explorer Internet Explorer tạo một miền ứng dụng cho mỗi site mà nó download các
điều kiểm được-quản-lý từ đó Tất cả các điều kiểm được download từ một site cho trước—cũng như các assembly mà chúng nạp—chạy trong cùng miền ứng dụng Khi
Internet Explorer tạo miền ứng dụng cho một site, nó gán chứng cứ
System.Security.Policy.Site cho miều ứng dụng này Điều này bảo đảm rằng, nếu các điều kiểm được download nạp một assembly (ngay cả từ đĩa cục bộ), các hành động của assembly này bị ràng buộc bởi các quyền được cấp cho miền ứng dụng dựa trên chứng cứ Site và chính sách bảo mật
# Trừ khi bạn gán chứng cứ cho miền ứng dụng một cách tường minh khi tạo nó,
miền ứng dụng này không ảnh hưởng gì đến các yêu cầu bảo mật (security
demand)
Để gán chứng cứ cho một miền ứng dụng, bạn hãy tạo một tập hợp Evidence và thêm các đối tượng chứng cứ cần thiết vào đó bằng phương thức Evidence.AddHost Khi tạo miền ứng dụng mới, bạn truyền tập hợp Evidence cho một trong các phiên bản nạp chồng của
Trang 8phương thức tĩnh CreateDomain Quá trình phân giải chính sách thường kỳ của bộ thực thi sẽ xác định grant-set của miền ứng dụng
Ứng dụng dưới đây trình bày cách gán chứng cứ cho một miền ứng dụng Trong đó, ứng dụng nạp mã lệnh từ một publisher cụ thể vào một miền ứng dụng publisher cụ thể Bằng cách gán cho miều ứng dụng chứng cứ System.Security.Policy.Publisher mô tả publisher của phần mềm, ví dụ này hạn chế các khả năng của mã lệnh được nạp vào miền ứng dụng Sử dụng chính sách bảo mật, bạn có thể gán mã lệnh của publisher một tập quyền cực đại tương xứng với mức tin cậy bạn đặt vào publisher
using System;
using System.Security.Policy;
using System.Security.Cryptography.X509Certificates;
public class AppDomainEvidenceExample {
public static void Main() {
// Tạo một miền ứng dụng mới cho mỗi publisher mà ứng dụng này
// sẽ nạp mã lệnh của nó Truyền cho phương thức CreateAppDomain
// tên công ty, và tên của file chứa chứng chỉ X.509v3
// của công ty này
AppDomain appDom1 = CreateAppDomain("Litware", "litware.cer");
AppDomain appDom2 = CreateAppDomain("Fabrikam", "fabrikam.cer");
// Nạp mã lệnh từ các publisher vào miền ứng dụng phù hợp
// để thực thi
§
}
// Phương thức này tạo một miền ứng dụng mới để nạp và chạy mã lệnh
// trong đó từ một publisher cụ thể Đối số name chỉ định tên của
// miền ứng dụng Đối số certFile chỉ định tên của file chứa
// một chứng chỉ X.509v3 cho publisher mà mã lệnh của nó sẽ
// được chạy trong miền ứng dụng mới
private static AppDomain CreateAppDomain(string name,
string certFile){
// Tạo một đối tượng X509Certificate mới từ chứng chỉ X.509v3
// nằm trong file được chỉ định
X509Certificate cert =
Trang 9X509Certificate.CreateFromCertFile(certFile);
// Tạo chứng cứ Publisher mới từ đối tượng X509Certificate Publisher publisherEvidence = new Publisher(cert);
// Tạo một tập hợp Evidence mới
Evidence evidence = new Evidence();
// Thêm chứng cứ Publisher vào tập hợp Evidence
evidence.AddHost(publisherEvidence);
// Tạo một miền ứng dụng mới với tập hợp Evidence
// chứa chứng cứ Publisher và trả về miền ứng dụng
// vừa được tạo ra
return AppDomain.CreateDomain(name, evidence);
}
}