أفضل الممارسات من أجل التوقيع .صافي الجمعيات?
https://stackoverflow.com/questions/35373
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدي حل تتكون من خمسة مشاريع ، كل منها تجميع منفصلة الجمعيات.الآن أنا رمز التوقيع لهم, ولكن أنا متأكد من أنني أفعل ذلك الخطأ.ما هي أفضل الممارسات هنا ؟
- التوقيع مع كل مختلف مفتاح ؛ تأكد من كلمات مرور مختلفة
- التوقيع مع كل مختلف مفتاح ؛ استخدام نفس كلمة المرور إذا كنت تريد
- التوقيع مع كل نفس المفتاح
- شيء آخر تماما
أساسا أنا لست متأكدا تماما ما هو "توقيع" هل لهم ، أو ما أفضل الممارسات هنا حتى أكثر عموما المناقشة ستكون جيدة.كل ما أعرفه حقا هو أن FxCop صرخ في وجهي, و كان من السهل لإصلاح بالنقر على "تسجيل هذه الجمعية" مربع و توليد .الملف pfx باستخدام Visual Studio (2008).
المحلول
إذا كان هدفكم الوحيد هو التوقف عن التقدم من يصرخ في لك ، ثم كنت قد وجدت أفضل الممارسات.
أفضل الممارسات من أجل التوقيع الخاص بك الجمعيات شيء هو تعتمد اعتمادا كليا على الأهداف الخاصة بك والاحتياجات.نحن بحاجة الى مزيد من المعلومات مثل المقصود النشر:
- للاستخدام الشخصي
- للاستخدام على شبكة الشركة الكمبيوتر هو تطبيق عميل
- قيد التشغيل على ملقم ويب
- تشغيل في SQL Server
- تنزيل عبر الإنترنت
- تباع على CD في تقليص التفاف
- تحميلها مباشرة إلى جهاز معرفي الدماغ
- الخ.
عموما يمكنك استخدام توقيع التعليمات البرمجية للتحقق من أن الجمعيات جاء من مصدر موثوق و لم يتم تعديلها. حتى مع كل نفس المفتاح على ما يرام. الآن كيف أن الثقة والهوية يتحدد قصة أخرى.
تحديث: كيف هذه الفوائد المستخدمين عند نشر على شبكة الإنترنت إذا كنت قد حصلت على برنامج التوقيع على شهادة من مرجع مصدق.ثم عند تحميل التجميعات يتمكنوا من التحقق من أنها جاءت من دومينيك برنامج المتجر, و لم يتم تعديلها أو تلف على طول الطريق.وسوف تحتاج أيضا إلى التوقيع المثبت عند تنزيله.هذا يمنع محذرا من أن بعض المتصفحات العرض التي تم الحصول عليها من مصدر غير معروف.
ملاحظة سوف تدفع للحصول على برنامج شهادة التوقيع.ما تحصل عليه هو المصدق تصبح موثوق 3rd الطرف الذي يتحقق أنت الذي تقول.يعمل هذا لأن من شبكة من الثقة أن يتتبع طريق العودة إلى جذر الشهادة المثبتة في نظام التشغيل.هناك عدد قليل من شهادة السلطات للاختيار من بينها, ولكن سوف تحتاج إلى التأكد من أنها معتمدة من قبل الشهادات الجذر الموجودة على نظام التشغيل الهدف.
نصائح أخرى
الفرق الأكثر وضوحا بين الموقعة و غير الموقعة الجمعيات في تطبيق ClickOnce.إذا لم توقع ، ثم سوف تحصل على المستخدمين مخيف "ناشر غير معروف" مربع حوار تحذير المرة الأولى التي يتم تشغيل التطبيق الخاص بك.إذا كنت قد وقعت عليها مع شهادة من مرجع موثوق به, ثم يرون أن الحوار هو أقل مخيفة.بقدر ما أعرف, التوقيع مع شهادة توليد نفسك لا يؤثر على "ناشر غير معروف" تحذير. Instant SSL من كمودو وقد أمثلة من الحوارات.
هناك بعض دهاء الخلافات.عليك أن توقع على الجمعية قبل أن يتم تثبيتها في التخزين المؤقت للتجميع العمومي (GAC) حيث يمكن أن تكون مشتركة من قبل العديد من التطبيقات.التوقيع هو جزء لا يتجزأ من أمان الوصول إلى التعليمات البرمجية (CAS) ، ولكن لم أجد أي شخص يمكن الحصول على كاس العامل.أنا متأكد من أن كل من GAC CAS تعمل بشكل جيد مع شهادات يمكنك إنشاء بنفسك.
فإنه يساعد لأن القابل للتنفيذ يتوقع بقوة يدعى الجمعية.يتوقف أي شخص ضار استبدال في آخر جمعية واحدة من يدكم.كما يمكن للمستخدم منح الجمعية CAS أذونات استنادا إلى اسم قوي.
أنا لا أعتقد أنك يجب أن يتم توزيع .الملف pfx, عليك أن تبقي آمنة على الاستقالة من الجمعية.
فمن المهم للحفاظ على ملف PFX السري كما أنه يحتوي على المفتاح الخاص.
إذا كان هذا المفتاح متاحة للآخرين ثم يمكن لأي شخص تسجيل الجمعيات أو البرامج التي تنكرية كما كنت.
ربط اسمك مع الجمعيات (في عيون ويندوز) سوف تحتاج إلى الحصول على شهادة رقمية (جزء من الملف PFX تحتوي على اسمك) موقعة من قبل سلطة موثوق به.
في الواقع سوف تحصل على شهادة جديدة ، ولكن مع نفس المعلومات.
سيكون لديك لدفع ثمن هذه الشهادة (ربما سنويا) ، ولكن شهادة السلطة فعال يشهدوا على وجود الخاص بك (بعد أن كنت قد أرسلت لهم نسخة من جواز السفر أو تصريح سائق و الفاتورة المحلية).
توقيع يستخدم لتحديد فريد الجمعية.المزيد من التفاصيل في كيفية:توقع الجمعية (Visual Studio).
وفقا لأفضل الممارسات بأس من استخدام نفس المفتاح طالما جمعيات لها أسماء مختلفة.
