Większość interfejsów API zabezpieczeń dostępu do kodu jest przestarzała
Większość typów związanych z dostępem do kodu (CAS) na platformie .NET jest teraz przestarzała jako ostrzeżenie. Obejmuje to atrybuty CAS, takie jak , obiekty uprawnień CAS, takie jak SecurityPermissionAttributeSocketPermission, EvidenceBasetypy pochodne i inne pomocnicze interfejsy API.
Opis zmiany
W programie .NET Framework 2.x — 4.x atrybuty cas i interfejsy API mogą mieć wpływ na przebieg wykonywania kodu, w tym zapewnienie, że stos CAS-demand zakończy się powodzeniem lub niepowodzeniem.
// In .NET Framework, the attribute causes CAS stack walks
// to terminate successfully when this permission is demanded.
[SocketPermission(SecurityAction.Assert, Host = "contoso.com", Port = "443")]
public void DoSomething()
{
// open a socket to contoso.com:443
}
W programie .NET Core 2.x — 3.x środowisko uruchomieniowe nie honoruje atrybutów CAS ani interfejsów API CAS. Środowisko uruchomieniowe ignoruje atrybuty we wpisie metody, a większość programowych interfejsów API nie ma wpływu.
// The .NET Core runtime ignores the following attribute.
[SocketPermission(SecurityAction.Assert, Host = "contoso.com", Port = "443")]
public void DoSomething()
{
// open a socket to contoso.com:443
}
Ponadto programowe wywołania ekspansywnych interfejsów API (Assert) zawsze kończą się powodzeniem, podczas gdy programowe wywołania restrykcyjnych interfejsów API (Deny, PermitOnly) zawsze zgłaszają wyjątek w czasie wykonywania. (PrincipalPermission jest wyjątkiem od tej reguły. Zobacz sekcję Zalecana akcja poniżej.
public void DoAssert()
{
// The line below has no effect at run time.
new SocketPermission(PermissionState.Unrestricted).Assert();
}
public void DoDeny()
{
// The line below throws PlatformNotSupportedException at run time.
new SocketPermission(PermissionState.Unrestricted).Deny();
}
W przypadku platformy .NET 5 i nowszych wersji większość interfejsów API związanych z usługą CAS jest przestarzała i generuje ostrzeżenie dotyczące SYSLIB0003czasu kompilacji.
[SocketPermission(SecurityAction.Assert, Host = "contoso.com", Port = "443")] // warning SYSLIB0003
public void DoSomething()
{
new SocketPermission(PermissionState.Unrestricted).Assert(); // warning SYSLIB0003
new SocketPermission(PermissionState.Unrestricted).Deny(); // warning SYSLIB0003
}
Jest to zmiana tylko w czasie kompilacji. Nie ma zmian w czasie wykonywania z poprzednich wersji platformy .NET Core. Metody, które nie wykonują żadnej operacji na platformie .NET Core 2.x — 3.x, nadal nie będą wykonywać żadnej operacji w czasie wykonywania na platformie .NET 5 i nowszych wersjach. Metody zgłaszane PlatformNotSupportedException na platformie .NET Core 2.x — 3.x będą nadal zgłaszane PlatformNotSupportedException w czasie wykonywania na platformie .NET 5 lub nowszym.
Przyczyna wprowadzenia zmiany
Zabezpieczenia dostępu kodu (CAS) to nieobsługiwana starsza technologia. Infrastruktura umożliwiająca obsługę cas istnieje tylko w programie .NET Framework 2.x — 4.x, ale jest przestarzała i nie otrzymuje poprawek obsługi lub zabezpieczeń.
Ze względu na wycofanie usługi CAS infrastruktura pomocnicza nie została przekazana do platformy .NET Core lub .NET 5+. Jednak interfejsy API zostały przedstawione w taki sposób, aby aplikacje mogły kompilować krzyżowo na platformach .NET Framework i .NET Core. Doprowadziło to do scenariuszy "otwierania w trybie fail open", w których istnieją niektóre interfejsy API związane z usługą CAS i są wywoływane, ale nie wykonują żadnych akcji w czasie wykonywania. Może to prowadzić do problemów z zabezpieczeniami składników, które oczekują, że środowisko uruchomieniowe będzie honorować atrybuty związane z usługą CAS lub wywołania programowe interfejsu API. Aby lepiej komunikować się, że środowisko uruchomieniowe nie szanuje tych atrybutów ani interfejsów API, większość z nich w programie .NET 5.0 została przestarzała.
Wprowadzona wersja
5,0
Zalecana akcja
Jeśli potwierdzasz jakiekolwiek uprawnienia zabezpieczeń, usuń atrybut lub wywołanie, które potwierdza uprawnienie.
// REMOVE the attribute below. [SecurityPermission(SecurityAction.Assert, ControlThread = true)] public void DoSomething() { } public void DoAssert() { // REMOVE the line below. new SecurityPermission(SecurityPermissionFlag.ControlThread).Assert(); }Jeśli odmawiasz lub ograniczasz (za pośrednictwem
PermitOnly) wszelkich uprawnień, skontaktuj się z doradcą ds. zabezpieczeń. Ponieważ atrybuty CAS nie są honorowane przez środowisko uruchomieniowe platformy .NET 5+, aplikacja może mieć dziurę zabezpieczeń, jeśli nieprawidłowo korzysta z infrastruktury CAS w celu ograniczenia dostępu do tych metod.// REVIEW the attribute below; could indicate security vulnerability. [SecurityPermission(SecurityAction.Deny, ControlThread = true)] public void DoSomething() { } public void DoPermitOnly() { // REVIEW the line below; could indicate security vulnerability. new SecurityPermission(SecurityPermissionFlag.ControlThread).PermitOnly(); }Jeśli domagasz się wszelkich uprawnień (z wyjątkiem PrincipalPermission), usuń żądanie. Wszystkie wymagania zostaną wykonane w czasie wykonywania.
// REMOVE the attribute below; it will always succeed. [SecurityPermission(SecurityAction.Demand, ControlThread = true)] public void DoSomething() { } public void DoDemand() { // REMOVE the line below; it will always succeed. new SecurityPermission(SecurityPermissionFlag.ControlThread).Demand(); }Jeśli domagasz PrincipalPermissionsię polecenia , zapoznaj się ze wskazówkami dotyczącymi atrybutu PrincipalPermissionAttribute jest przestarzały jako błąd. Te wskazówki dotyczą zarówno systemów , jak PrincipalPermission i PrincipalPermissionAttribute.
Jeśli absolutnie musisz wyłączyć te ostrzeżenia (co nie jest zalecane), możesz pominąć
SYSLIB0003ostrzeżenie w kodzie.#pragma warning disable SYSLIB0003 // disable the warning [SecurityPermission(SecurityAction.Demand, ControlThread = true)] #pragma warning restore SYSLIB0003 // re-enable the warning public void DoSomething() { } public void DoDemand() { #pragma warning disable SYSLIB0003 // disable the warning new SecurityPermission(SecurityPermissionFlag.ControlThread).Demand(); #pragma warning restore SYSLIB0003 // re-enable the warning }Możesz również pominąć ostrzeżenie w pliku projektu. Spowoduje to wyłączenie ostrzeżenia dla wszystkich plików źródłowych w projekcie.
<Project Sdk="Microsoft.NET.Sdk"> <PropertyGroup> <TargetFramework>net5.0</TargetFramework> <!-- NoWarn below suppresses SYSLIB0003 project-wide --> <NoWarn>$(NoWarn);SYSLIB0003</NoWarn> </PropertyGroup> </Project>Uwaga
Pomijanie
SYSLIB0003powoduje wyłączenie tylko ostrzeżeń dotyczących obsoletionu związanych z usługą CAS. Nie wyłącza żadnych innych ostrzeżeń ani nie zmienia zachowania środowiska uruchomieniowego platformy .NET 5+.Zabezpieczenia
Dotyczy interfejsów API
- System.AppDomain.PermissionSet
- System.Configuration.ConfigurationPermission
- System.Configuration.ConfigurationPermissionAttribute
- System.Data.Common.DBDataPermission
- System.Data.Common.DBDataPermissionAttribute
- System.Data.Odbc.OdbcPermission
- System.Data.Odbc.OdbcPermissionAttribute
- System.Data.OleDb.OleDbPermission
- System.Data.OleDb.OleDbPermissionAttribute
- System.Data.OracleClient.OraclePermission
- System.Data.OracleClient.OraclePermissionAttribute
- System.Data.SqlClient.SqlClientPermission
- System.Data.SqlClient.SqlClientPermissionAttribute
- System.Diagnostics.EventLogPermission
- System.Diagnostics.EventLogPermissionAttribute
- System.Diagnostics.PerformanceCounterPermission
- System.Diagnostics.PerformanceCounterPermissionAttribute
- System.DirectoryServices.DirectoryServicesPermission
- System.DirectoryServices.DirectoryServicesPermissionAttribute
- System.Drawing.Printing.PrintingPermission
- System.Drawing.Printing.PrintingPermissionAttribute
- System.Net.DnsPermission
- System.Net.DnsPermissionAttribute
- System.Net.Mail.SmtpPermission
- System.Net.Mail.SmtpPermissionAttribute
- System.Net.NetworkInformation.NetworkInformationPermission
- System.Net.NetworkInformation.NetworkInformationPermissionAttribute
- System.Net.PeerToPeer.Collaboration.PeerCollaborationPermission
- System.Net.PeerToPeer.Collaboration.PeerCollaborationPermissionAttribute
- System.Net.PeerToPeer.PnrpPermission
- System.Net.PeerToPeer.PnrpPermissionAttribute
- System.Net.SocketPermission
- System.Net.SocketPermissionAttribute
- System.Net.WebPermission
- System.Net.WebPermissionAttribute
- System.Runtime.InteropServices.AllowReversePInvokeCallsAttribute
- System.Security.CodeAccessPermission
- System.Security.HostProtectionException
- System.Security.IPermission
- System.Security.IStackWalk
- System.Security.NamedPermissionSet
- System.Security.PermissionSet
- System.Security.Permissions.CodeAccessSecurityAttribute
- System.Security.Permissions.DataProtectionPermission
- System.Security.Permissions.DataProtectionPermissionAttribute
- System.Security.Permissions.DataProtectionPermissionFlags
- System.Security.Permissions.EnvironmentPermission
- System.Security.Permissions.EnvironmentPermissionAccess
- System.Security.Permissions.EnvironmentPermissionAttribute
- System.Security.Permissions.FileDialogPermission
- System.Security.Permissions.FileDialogPermissionAccess
- System.Security.Permissions.FileDialogPermissionAttribute
- System.Security.Permissions.FileIOPermission
- System.Security.Permissions.FileIOPermissionAccess
- System.Security.Permissions.FileIOPermissionAttribute
- System.Security.Permissions.GacIdentityPermission
- System.Security.Permissions.GacIdentityPermissionAttribute
- System.Security.Permissions.HostProtectionAttribute
- System.Security.Permissions.HostProtectionResource
- System.Security.Permissions.IUnrestrictedPermission
- System.Security.Permissions.IsolatedStorageContainment
- System.Security.Permissions.IsolatedStorageFilePermission
- System.Security.Permissions.IsolatedStorageFilePermissionAttribute
- System.Security.Permissions.IsolatedStoragePermission
- System.Security.Permissions.IsolatedStoragePermissionAttribute
- System.Security.Permissions.KeyContainerPermission
- System.Security.Permissions.KeyContainerPermissionAccessEntry
- System.Security.Permissions.KeyContainerPermissionAccessEntryCollection
- System.Security.Permissions.KeyContainerPermissionAccessEntryEnumerator
- System.Security.Permissions.KeyContainerPermissionAttribute
- System.Security.Permissions.KeyContainerPermissionFlags
- System.Security.Permissions.MediaPermission
- System.Security.Permissions.MediaPermissionAttribute
- System.Security.Permissions.MediaPermissionAudio
- System.Security.Permissions.MediaPermissionImage
- System.Security.Permissions.MediaPermissionVideo
- System.Security.Permissions.PermissionSetAttribute
- System.Security.Permissions.PermissionState
- System.Security.Permissions.PrincipalPermission
- System.Security.Permissions.PrincipalPermissionAttribute
- System.Security.Permissions.PublisherIdentityPermission
- System.Security.Permissions.PublisherIdentityPermissionAttribute
- System.Security.Permissions.ReflectionPermission
- System.Security.Permissions.ReflectionPermissionAttribute
- System.Security.Permissions.ReflectionPermissionFlag
- System.Security.Permissions.RegistryPermission
- System.Security.Permissions.RegistryPermissionAccess
- System.Security.Permissions.RegistryPermissionAttribute
- System.Security.Permissions.ResourcePermissionBase
- System.Security.Permissions.ResourcePermissionBaseEntry
- System.Security.Permissions.SecurityAction
- System.Security.Permissions.SecurityAttribute
- System.Security.Permissions.SecurityPermission
- System.Security.Permissions.SecurityPermissionAttribute
- System.Security.Permissions.SecurityPermissionFlag
- System.Security.Permissions.SiteIdentityPermission
- System.Security.Permissions.SiteIdentityPermissionAttribute
- System.Security.Permissions.StorePermission
- System.Security.Permissions.StorePermissionAttribute
- System.Security.Permissions.StorePermissionFlags
- System.Security.Permissions.StrongNameIdentityPermission
- System.Security.Permissions.StrongNameIdentityPermissionAttribute
- System.Security.Permissions.StrongNamePublicKeyBlob
- System.Security.Permissions.TypeDescriptorPermission
- System.Security.Permissions.TypeDescriptorPermissionAttribute
- System.Security.Permissions.TypeDescriptorPermissionFlags
- System.Security.Permissions.UIPermission
- System.Security.Permissions.UIPermissionAttribute
- System.Security.Permissions.UIPermissionClipboard
- System.Security.Permissions.UIPermissionWindow
- System.Security.Permissions.UrlIdentityPermission
- System.Security.Permissions.UrlIdentityPermissionAttribute
- System.Security.Permissions.WebBrowserPermission
- System.Security.Permissions.WebBrowserPermissionAttribute
- System.Security.Permissions.WebBrowserPermissionLevel
- System.Security.Permissions.ZoneIdentityPermission
- System.Security.Permissions.ZoneIdentityPermissionAttribute
- System.Security.Policy.ApplicationTrust.ApplicationTrust(PermissionSet, IEnumerable<StrongName>)
- System.Security.Policy.ApplicationTrust.FullTrustAssemblies
- System.Security.Policy.FileCodeGroup
- System.Security.Policy.GacInstalled
- System.Security.Policy.IIdentityPermissionFactory
- System.Security.Policy.PolicyLevel.AddNamedPermissionSet(NamedPermissionSet)
- System.Security.Policy.PolicyLevel.ChangeNamedPermissionSet(String, PermissionSet)
- System.Security.Policy.PolicyLevel.GetNamedPermissionSet(String)
- System.Security.Policy.PolicyLevel.RemoveNamedPermissionSet
- System.Security.Policy.PolicyStatement.PermissionSet
- System.Security.Policy.PolicyStatement.PolicyStatement
- System.Security.Policy.Publisher
- System.Security.Policy.Site
- System.Security.Policy.StrongName
- System.Security.Policy.StrongNameMembershipCondition
- System.Security.Policy.Url
- System.Security.Policy.Zone
- System.Security.SecurityManager
- System.ServiceProcess.ServiceControllerPermission
- System.ServiceProcess.ServiceControllerPermissionAttribute
- System.Transactions.DistributedTransactionPermission
- System.Transactions.DistributedTransactionPermissionAttribute
- System.Web.AspNetHostingPermission
- System.Web.AspNetHostingPermissionAttribute
- System.Xaml.Permissions.XamlLoadPermission
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla