Какую угрозу Отражение представляет? (Среднее Доверие)
Я думаю, что библиотека является рядом утилит для достижения цели (например, сокеты, криптография, и т.д.). Платформа является библиотекой + EINVIRONNEMENT ВО ВРЕМЯ ВЫПОЛНЕНИЯ. Например, ASP.NET является платформой: это принимает Запросы HTTP, создайте объект страницы, вызовите lyfe события цикла и т.д. Платформа делает все это, Вы пишете немного кода, который будет выполнен в определенное время жизненного цикла текущего запроса!
Так или иначе, очень interestering вопрос!
3 ответа
Отражение позволяет вредоносному коду проверять все виды секретов: не столько интеллектуальную собственность (хотя, конечно, и это тоже), но данные, которые должны быть частные и безопасные, такие как строки подключения, пароли, данные банковских счетов и т. д.
Конечно, многие программы раскрывают эти данные как само собой разумеющееся через даже более легко взломанные векторы, но нет причин увеличивать атаку приложения поверхность.
Отредактировано, чтобы вывести часть разговора из комментариев:
It ' Вероятно, правда, что реальный риск заключается в неограниченном доступе к файловой системе, который превращает отражение в реальную опасность. Если плохой субъект может получить сборку (или что-то, что скомпилировано в сборку) в ваш виртуальный каталог, у вас проблемы, если у него есть разрешение на отражение. (Конечно, если это произойдет, есть и другие потенциальные проблемы, но это не должно сбрасывать со счетов эту конкретную уязвимость.)
В среде общего хостинга это просто труднее предотвратить, хотя это, конечно, не невозможно. Возможно, стоит отправить этот вопрос на ServerFault , чтобы узнать, что там говорят хорошие люди.
у вас проблемы, если у них есть разрешение на отражение. (Конечно, если это произойдет, есть и другие потенциальные проблемы, но это не должно сбрасывать со счетов эту конкретную уязвимость.)В среде общего хостинга это просто труднее предотвратить, хотя это, конечно, не невозможно. Возможно, стоит отправить этот вопрос на ServerFault , чтобы узнать, что там говорят хорошие люди.
у вас проблемы, если у них есть разрешение на отражение. (Конечно, если это произойдет, есть и другие потенциальные проблемы, но это не должно сбрасывать со счетов эту конкретную уязвимость.)В среде общего хостинга это просто труднее предотвратить, хотя это, конечно, не невозможно. Возможно, стоит отправить этот вопрос на ServerFault , чтобы узнать, что там говорят хорошие люди.
Я никогда не находил ничего «плохого», что пользователь мог бы сделать с помощью отражения. Люди пугаются, потому что вы можете вызывать методы, отмеченные как частные или защищенные, но, судя по тому, что я видел, ни один из них не представляет реального риска.
Скорее всего, это, по крайней мере, частично, метод продаж. чтобы заставить вас выложить (полу) выделенный хостинг :)
Я нашел следующую статью MSDN на эту тему:
Вопросы безопасности для отражения
Эта статья повторяет ответ Джеффа:
Отражение дает возможность получить информацию о типах и участники и для доступа к участникам. Доступ к закрытым членам может создают угрозу безопасности. Следовательно, код, который обращается к непубличным членам требует ReflectionPermission с соответствующие флаги.
Однако я не верю, что этим риском можно воспользоваться между учетными записями хостинга клиентов. Похоже, это будет только личным риском. Например, с помощью отражения я мог исследовать свои собственные сборки в среде размещения. Однако другие заказчики не могли использовать отражение для исследования моих сборок. Они могли исследовать только свои сборки.
Это могло создать проблему для одного веб-приложения, в котором участвуют несколько групп разработчиков. Одна группа разработчиков может использовать отражение для изучения сборок другой группы разработчиков.
Однако это редкий сценарий для среды общего хостинга. Большинство веб-сайтов с виртуальным хостингом включает в себя очень небольшую команду, которая имеет полный доступ ко всему коду. Другими словами, секретов нет.