Hlediska zabezpečení vizualizéru
Zápis vizualizéru zahrnuje možné bezpečnostní hrozby. Pro tyto potenciální hrozby aktuálně neexistuje žádné známé zneužití, ale vývojáři by o nich měli vědět a podniknout vhodná bezpečnostní opatření, jak je zde popsáno, aby se hlídali před budoucími zneužitími.
Vizualizéry ladicího programu vyžadují větší oprávnění, než povoluje aplikace s částečnou důvěryhodností. Vizualizéry se nenačtou, když se zastavíte v kódu s částečným vztahem důvěryhodnosti. Pokud chcete ladit pomocí vizualizéru, musíte spustit kód s úplným vztahem důvěryhodnosti.
Poznámka:
Zabezpečení přístupu kódu (CAS) je zastaralé ve všech verzích rozhraní .NET Framework a .NET. Nedávné verze rozhraní .NET nedotknou poznámek CAS a generují chyby, pokud se používají rozhraní API související s casem. Vývojáři by měli hledat alternativní způsoby provádění úloh zabezpečení.
Možná škodlivá komponenta Debuggee
Vizualizéry se skládají z nejméně dvou tříd: jedné na straně ladicího programu a jedné na straně ladicího programu. Vizualizéry se často nasazují v samostatných sestaveních ve speciálních adresářích, ale dají se také načíst z ladicího programu. Když k tomu dojde, ladicí program vytáhne kód z ladicího programu a spustí ho uvnitř ladicího programu s úplným vztahem důvěryhodnosti.
Spuštění kódu na straně ladění s úplným vztahem důvěryhodnosti je problematické, pokud ladicí program není plně důvěryhodný. Pokud se vizualizér pokusí načíst sestavení částečné důvěryhodnosti z ladicího programu do ladicího programu, Visual Studio ukončí vizualizér.
Stále však existuje menší ohrožení zabezpečení. Ladicí program může přidružit stranu ladicího programu, která byla načtena z jiného zdroje (ne ladicí program). Na straně ladicího programu pak můžete zjistit, že důvěryhodná strana ladicího programu provede akce za něj. Pokud důvěryhodná třída ladicího programu zveřejňuje mechanismus "odstranit tento soubor", například ladicí program s částečnou důvěryhodností může vyvolat tento mechanismus, když uživatel vyvolá svůj vizualizér.
Pokud chcete toto ohrožení zabezpečení zmírnit, mějte na paměti rozhraní vystavená vizualizérem.
Související obsah
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro