Правила написания безопасного кода

Обновлен: Ноябрь 2007

Основанная на свидетельстве политика безопасности и управление доступом для кода предоставляют мощные, полноценные механизмы для обеспечения безопасности. Для большей части кода приложения достаточно просто использовать инфраструктуру, реализуемую NET Framework. В некоторых случаях для приложений требуется специальная защита, построение которой осуществляется либо за счет расширения системы безопасности, либо за счет использования новых специальных методов.

Используя разрешения, реализуемые с помощью .NET Framework, а также других механизмов, можно предотвратить получение вредоносным кодом не предназначенной для него информации или осуществление других нежелательных действий. Кроме того, необходимо соблюсти баланс между безопасностью и удобством использования кода во всех планируемых сценариях, используя доверенный код.

В этом подразделе

• Общие сведения о написании безопасного кода
  Общий обзор основ написания безопасного кода.

• Запросы разрешений
  Описание взаимодействия с системой безопасности .NET Framework с помощью запрашиваемых разрешений.

• Обеспечение безопасности данных
  Описание способов защиты закрытых членов.

• Безопасность доступа к методам
  Описание способов защиты методов от их вызова частично доверенным кодом.

• Безопасность кода программы-оболочки
  Описание обеспечения безопасности кода, являющегося оболочкой другого кода.

• Безопасность и поля-массивы с общим доступом только для чтения
  Описание обеспечения безопасности кода, использующего массивы с общим доступом только для чтения, которые встречаются в библиотеках .NET.

• Безопасность обработки исключений
  Описание обеспечения безопасности при обработке исключений.

• Безопасность и ввод данных пользователем
  Описание обеспечения безопасности приложений, принимающих данные от пользователя.

• Вопросы безопасности при удаленном взаимодействии
  Описание обеспечения безопасности приложений, взаимодействующих через границы доменов приложений.

• Безопасность и сериализация
  Описание обеспечения безопасности при сериализации объектов.

• Безопасность и состояния гонки
  Описание способов, позволяющих избежать состояний гонки в коде.

• Безопасность и создание кода "на лету"
  Описание обеспечения безопасности приложений, создающих динамический код.

• Опасные разрешения и администрирование политик
  Описание разрешений, которые потенциально позволяют обойти систему безопасности.

• Проблемы безопасности и установки
  Вопросы, связанные с тестированием и установкой приложения.

• Практическое руководство. Выполнение не вполне безопасного кода в изолированной среде
  Описание процесса выполнения кода с частичным доверием в защищенной среде, ограничивающей разрешения на доступ к коду, предоставленные приложению.

Связанные подразделы

• Безопасность веб-приложений ASP.NET
  Подробно описываются средства безопасности ASP.NET и приводятся инструкции по их использованию в коде.

• Управление доступом для кода
  Описание системы управления доступом для кода в .NET Framework и инструкции по ее использованию в коде.

• Безопасность на основе ролей
  Подробно описываются средства безопасности на основе ролей в .NET Framework и приводятся инструкции по их использованию в коде.

• Управление политикой безопасности
  Описание модели политики безопасности .NET Framework.