.Netto Dinamiese Plugin Laai met Gesag

StackOverflow https://stackoverflow.com/questions/14359

Vra

Watter aanbevelings kan jy gee vir'n stelsel wat moet doen die volgende:

Laai Plugins (en uiteindelik uit te voer hulle) maar het 2 metodes van die laai van hierdie plugins:

  • Laai slegs gemagtigde plugins (ontwikkel deur die eienaar van die sagteware)
  • Laai al die plugins

En ons nodig het om te wees redelik verseker dat die gemagtigde plugins is die ware jakob (onveranderde).Maar al die plugins moet word in die aparte gemeentes.Ek is op soek na die gebruik van sterk naam van gemeentes vir die plugins, met die publieke sleutel gestoor in die loader aansoek, maar vir my is dit lyk te maklik om te verander die publieke sleutel loader binne die aansoek (as die gebruiker is so geneig), ongeag van enige obfuscation van die loader aansoek.Enige meer veilig idees?

Was dit nuttig?

Oplossing

Basies, as jy om jou kode op iemand anders se masjien, daar is geen absolute waarborg van veiligheid.

Jy kan kyk na alle vorme van sekuriteit truuks, maar in die einde, die kode is op hul masjien so dis buite jou beheer.

Hoeveel staan jy om te verloor as die einde gebruiker vragte'n ongemagtigde plugin?

Ander wenke

Hoeveel staan jy om te verloor as die einde gebruiker vragte'n ongemagtigde plugin?

Weliswaar dit sal nie gebeur nie dikwels nie, maar wanneer/as dit nie gebeur nie ons verloor'n baie en ek alhoewel ek verstaan sal ons produseer niks 100% veilige, ek wil om te maak dit genoeg van'n hindernis te sit mense af om dit te doen.

Die irriterende ding oor te gaan met'n eenvoudige dinamiese laai met volle sterk naam, is dat al wat dit neem is'n eenvoudige string letterlike verander loader binne die app te laai enige ander vergadering, selfs al is die plugins is onderteken.

jy kan jou vraag te verbreed: "Hoe kan ek my net gemeentes te beskerm teen reverse engineering?"

Die antwoord is - jy kan nie. vir diegene wat dit nog havent gesien, net opkyk "reflector", en voer dit uit op 'n paar naïef exe.

(by the way, dit is altyd die antwoord vir kode wat uit jou hande, so lank as jy nie af / dekripsie hardeware gestuur met dit),

obfuscating drieë aan die reverse engineering maak om harder te wees (meer kos geld) as ontwikkeling, en vir 'n paar vorme van algorithems dit slaag.

Om die gemeentes.

  

Sterk-naam ondertekening, of sterk-benaming,   gee 'n sagteware komponent 'n wêreldwyd   unieke identiteit wat nie kan bedrieglike   deur iemand anders. Sterk name gebruik   om daardie komponent waarborg   afhanklikhede en opset   state te karteer om presies die regte   komponent en komponent weergawe.

http://msdn.microsoft.com/ en-ons / library / h4fa028b (VS.80) Aspx

Gelisensieer onder: CC-BY-SA met toeskrywing
Nie verbonde aan StackOverflow
scroll top