Otomasyonda Güvenlik için En İyi Yöntemler
Visual Studio eklentileri, Visual Studio 2013'te kullanım dışıdır.Eklentilerinizi VSPackage uzantılarına yükseltmelisiniz.Yükseltme hakkında daha fazla bilgi için bkz: SSS: Eklentileri VSPackage Uzantılarına Dönüştürme.
Visual Studio otomasyon geliştiriciler, güvenlik açıklarını anlayarak güvenli uygulamalar oluşturma sorumluluğunu kavramalı ve kabul etmelidir.Güvenli uygulama müşteri bilgisinin kullanılabilirliğini, gizliliği ve bütünlüğü korur.Ayrıca, sistem sahibinin veya yöneticisinin denetlediğiniz işleme kaynaklarının bütünlüğünü ve kullanılabilirliğini korur.
Bu tartışmanın amaçlarına yönelik olarak, güvenlik açığı, bir saldırganın — ürün düzgün kullanıldığında bile — şunları yapmasına olanak tanıyan üründeki bir eksiktir:
kullanıcı sistemindeki uygun ayrıcalıklar,
işlemini düzenle, değiştir veya yeniden yönlendir
verilerini tehlikeye atabilir,
- veya -
güven verilmediğini varsayın.
.gif "Önemli not") Önemli |
|---|
Özellikle uygulama çok popüler hale gelirse, uygulamanız sadece birkaç belirli ortamda çalışır asla varsaymayın.Büyük olasılıkla iyi başka bir öngörülemeyen, ayarda kullanılır.Bunun yerine kodunuzun en tehlikeli ortamlarda çalışacağını varsayalım.Kodunuzu buna göre tasarlayın, yazın ve test edin. |
Güvenli uygulamalar oluşturmanın faydaları vardır.Başlangıçta tasarlanmış ve göz önünde bulundurularak oluşturulmuş kod, sonradan eklenen güvenlik ile yazılmış bir koddan daha güçlüdür.Güvenli bir şekilde tasarlanmış uygulamalar ayrıca medyadaki eleştirilere karşı daha dayanıklıdır, kullanıcılar için daha çekicidir ve bunların hatalarını düzeltmek ve bunları desteklemek daha az maliyetlidir.
Riskli API'ler
Bazı API işlevleri, güvenlik açısından diğerlerinden daha riskli kabul edilebilir.Bazıları, çalışma şekilleri nedeniyle içsel olarak riskli olabilir.Diğerleri doğru çağrılmaz veya işlenmezse riskli olabilir.Önemli olan çağırdığınız çeşitli API işlevlerinin sahip olduğu tuzaklarına ve tuhaflıklarına aşina olmalısınız ve bunlar herhangi bir güvenlik riski oluşturuyorsa doğru şekilde kullanıldıklarından emin olmalısınız.
Ayrıca, kodunuzun yalnızca "güvenli" kabul edilen API işlevlerini kullandığını değil, uygulamanızın da otomatik olarak güvenli ve sağlam olduğunu kabul edin.Hatalı programlama uygulamaları uygulamanızı beklenen "tehlikeli" işlevlerin kullanılmasından çok daha fazla riske sokabilir.Bu tür uygulamalar şunları içerebilir:
özel durumlar düzgün işlenmiyor,
sabit kodlanmış yollar kullanarak
sabit kodlanmış bağlantı dizeleri kullanarak
-veya-
uygun kullanıcı kimlik bilgilerini veya izinlerini denetleme için değil.
Uygulamalarınızı korumak için, konuyu araştırarak kod güvenlik sorunlarını iyice anlamanız gerekir.Microsoft Press book, Güvenli Kod Yazma ve Güvenli Kodlama Kılavuzları sitesi https://msdn2.microsoft.com/library/d55zzx87.aspx iyi kaynaklardır.
Anlaşılması gereken bir başka önemli nokta ise pek çok güvenlik sorununun veri girişine gözü kapalı güvenilen uygulamalardan doğduğudur.Uygulamalarınızı dikkatli incelemeniz ve alındıkları sırada verilerin kullanmadan önce düzgün biçimlendirilmiş ve güvenilir olduğunu doğrulamak için verileri değerlendirmeniz önemlidir.
Otomasyon Güvenlik Özellikleri
Bu yönergeleri izlemenin yanı sıra, Visual Studio otomasyonu, otomasyon güvenliği istismarına karşı güvenliği sağlamanın bazı basit, belirli yollarını da sağlar.Ancak bunların tüm güvenlik sorunları için bir çare olmadığını da unutmayın.Daha çok iyi bir başlangıç noktasıdır.Bilgi için bkz. Eklenti Güvenliği.
Otomasyon uygulamalarınızı oluşturmadan önce .NET güvenlik ilkelerini araştırın ve bunlara dikkatle uyun.