1.1 Hạn chế ai đó thừa kế các lớp của bạn và chép đè các thành viên lớp V V Bạn cần kiểm soát những ai có thể thừa kế các lớp của bạn thông qua sự thừa kế (inheritance) và một lớp dẫn xuất có thể chép đè những thành viên nào. # # Sử dụng các lệnh bảo mật khai báo (declarative security statement) để áp dụng thành viên SecurityAction.InheritanceDemand vào phần khai báo của các lớp và các thành viên bạn cần bảo vệ. Các modifier như sealed, public, private, và virtual cho phép bạn kiểm soát khả năng của các lớp khác khi các lớp này thừa kế lớp của bạn và chép đè các thành viên của nó. Tuy nhiên, các modifier này không linh hoạt, không có khả năng chọn lọc khi giới hạn những mã lệnh nào có thể thừa kế một lớp hoặc chép đè các thành viên c ủa nó. Ví dụ, bạn muốn chỉ những mã lệnh do công ty hay khoa của bạn viết thì mới có thể thừa kế các lớp nghiệp vụ quan trọng, hoặc chỉ những mã lệnh được nạp từ máy cục bộ thì mới có thể thừa kế các phương thức nào đó. Bằng cách áp dụng InheritanceDemand vào khai báo lớp hay thành viên, bạn có thể chỉ định các quyền (lúc thực thi) mà một lớp phải có thì mới có thể th ừa kế lớp của bạn hoặc chép đè các thành viên cụ thể nào đó. Nhớ rằng, các quyền của một lớp là các quyền của assembly mà lớp này được khai báo trong đó. Mặc dù bạn có thể yêu cầu bất kỳ quyền hay tập quyền nào trong InheritanceDemand, nhưng thông thường là yêu cầu các quyền định danh (identity permission). Quyền định danh mô tả chứng cứ (evidence) do một assembly đưa cho bộ thực thi. Nếu một assembly đưa ra các kiểu chứng cứ nào đó lúc nạp, bộ thực thi sẽ tự động gán cho assembly này quyền định danh phù hợp. Quyền định danh cho phép bạn sử dụng các lệnh bảo mật bắt buộc và khai báo (imperative và declarative security statement) để trực tiếp ra các quyết định bảo mật (security decision) căn cứ trên định danh mã (code identity) mà không cần trực tiếp đánh giá các đối tượng chứng cứ. Bả ng 13-1 liệt kê kiểu quyền định danh được tạo cho mỗi kiểu chứng cứ (kiểu chứng cứ là thành viên của không gian tên System.Security.Policy, kiểu quyền định danh là thành viên của không gian tên System.Security.Permissions). Bảng 13.1 Các lớp chứng cứ và các quyền định danh Lớp chứng cứ Quyền định danh ApplicationDirectory Không Hash Không Publisher PublisherIdentityPermission Site SiteIdentityPermission StrongName StrongNameIdentityPermission Url UrlIdentityPermission Zone ZoneIdentityPermission # Bộ thực thi gán các quyền định danh cho một assembly dựa trên chứng cứ do assembly này đưa ra. Bạn không thể gán thêm quyền định danh cho một assembly thông qua việc cấu hình chính sách bảo mật. Bạn phải sử dụng cú pháp bảo mật khai báo (declarative security syntax) để hiện thực một InheritanceDemand, nên bạn phải sử dụng bản sao đặc tính (attribute counterpart) của lớp quyền mà bạn muốn yêu cầu. Tất cả các lớp quyền đề u có một bản sao đặc tính để tạo các lệnh bảo mật khai báo—bao gồm InheritanceDemand. Ví dụ, bản sao đặc tính của PublisherIdentityPermission là PublisherIdentityPermissionAttribute, và bản sao đặc tính của StrongNameIdentityPermission là StrongNameIdentityPermissionAttribute—tất cả các quyền và các bản sao đặc tính của chúng cùng theo quy ước đặt tên và là các thành viên của cùng không gian tên. Để kiểm soát những mã lệnh nào có thể thừa kế lớp của bạn, hãy áp dụng InheritanceDemand khi khai báo lớp. Đoạn mã dưới đây trình bày một lớp được bảo vệ bằng InheritanceDemand. Theo đó, chỉ những lớp bên trong các assembly được ký bởi publisher-certificate (nằm trong file pubcert.cer) thì mới có thể thừa kế lớp InheritanceDemandExample. Nội dung của file pubcert.cer được đọc lúc biên dịch, và các thông tin chứng thực cần thiết được gắn vào assembly. [PublisherIdentityPermission(SecurityAction.InheritanceDemand, CertFile = @"I:\CSharp\Chuong13\pubcert.cer")] public class InheritanceDemandExample { § } Để kiểm soát những mã lệnh nào có thể chép đè các thành viên nào đó, bạn hãy áp dụng InheritanceDemand khi khai báo thành viên. Xét đoạn mã dưới đây, chỉ những lớp được cấp tập quyền FullTrust thì mới có thể chép đè phương thức SomeProtectedMethod. [PermissionSet(SecurityAction.InheritanceDemand, Name="FullTrust")] public void SomeProtectedMethod () { § } 1.2 Kiểm tra chứng cứ của một assembly V V Bạn cần kiểm tra chứng cứ mà bộ thực thi đã gán cho một assembly. # # Thu lấy đối tượng System.Reflection.Assembly mô tả assembly mà bạn quan tâm. Lấy tập hợp System.Security.Policy.Evidence từ thuộc tính Evidence của đối tượng Assembly, rồi truy xuất các đối tượng chứng cứ bên trong bằng phương thức GetEnumerator, GetHostEnumerator, hay GetAssemblyEnumerator của lớp Evidence. Lớp Evidence mô tả một tập hợp các đối tượng chứng cứ. Thuộc tính chỉ-đọc Evidence của lớp Assembly trả về một đối tượng tập hợp Evidence chứa t ất cả các đối tượng chứng cứ mà bộ thực thi đã gán cho assembly khi assembly này được nạp. Thật ra, lớp Evidence chứa hai tập hợp, mô tả hai kiểu chứng cứ khác nhau: chứng cứ host và chứng cứ assembly. Chứng cứ host bao gồm các đối tượng chứng cứ được gán cho assembly bởi bộ thực thi hay mã lệnh đã nạp assembly (mã lệnh này là đáng tin cậy). Chứng cứ assembly mô tả các đối tượng ch ứng cứ tùy biến được nhúng vào assembly lúc tạo dựng. Lớp Evidence hiện thực ba phương thức sau đây để liệt kê các đối tượng chứng cứ bên trong: • GetEnumerator • GetHostEnumerator • GetAssemblyEnumerator Phương thức GetEnumerator trả về một System.Collections.IEnumerator dùng để liệt kê tất cả các đối tượng chứng cứ bên trong tập hợp Evidence. Phương thức GetHostEnumerator và GetAssemblyEnumerator trả về một thể hiện IEnumerator liệt kê chỉ các đối tượng chứng cứ từ tập hợp tương ứng. Ví dụ dưới đây trình bày cách hiển thị chứng cứ host và chứng cứ assembly của một assembly. Chú ý rằng, t ất cả các lớp chứng cứ chuẩn đều chép đè phương thức Object.ToString để biểu diễn trạng thái của đối tượng chứng cứ. Mặc dù có liên quan nhưng không phải lúc nào ví dụ này cũng hiển thị chứng cứ mà một assembly sẽ có khi được nạp từ bên trong chương trình của bạn. Runtime host (như Microsoft ASP.NET hay Microsoft Internet Explorer runtime host) có thể tự ý gán thêm chứng cứ host khi nó nạp một assembly. using System; using System.Reflection; using System.Collections; using System.Security.Policy; public class ViewEvidenceExample { public static void Main(string[] args) { // Nạp assembly đã được chỉ định. Assembly a = Assembly.LoadFrom(args[0]); // Thu lấy tập hợp Evidence từ assembly đã được nạp. Evidence e = a.Evidence; // Hiển thị chứng cứ host. IEnumerator x = e.GetHostEnumerator(); Console.WriteLine("HOST EVIDENCE COLLECTION:"); while(x.MoveNext()) { Console.WriteLine(x.Current.ToString()); } // Hiển thị chứng cứ assembly. x = e.GetAssemblyEnumerator(); Console.WriteLine("ASSEMBLY EVIDENCE COLLECTION:"); while(x.MoveNext()) { Console.WriteLine(x.Current.ToString()); } } } Tất cả các lớp chứng cứ chuẩn do .NET Framework cấp đều bất biến, bạn không thể thay đổi các giá trị của chúng sau khi bộ thực thi đã tạo ra rồi gán chúng cho assembly. Ngoài ra, bạn không thể thêm hay loại bỏ các item trong lúc đang liệt kê một tập hợp bằng IEnumerator, nếu không, phương thức MoveNext sẽ ném ngoại lệ System.InvalidOperationException. 1.3 Xử lý chứng cứ khi nạp một assembly V V Bạn cần xử lý chứng cứ khi nạp một assembly để tác động đến các quyền mà bộ thực thi cấp cho assembly. # # Tạo các đối tượng chứng cứ mà bạn muốn gán cho assembly, sau đó thêm chúng vào một thể hiện của lớp System.Security.Policy.Evidence, rồi truyền tập hợp Evidence cho phương thức dùng để nạp assembly. Chứng cứ (được chiếm hữu bởi một assembly) định nghĩa định danh (identity) của assembly và xác định bộ thực thi cấp các quyền nào cho assembly. Bộ nạp assembly (Assembly Loader) chịu trách nhiệm chính trong việc xác định gán chứng cứ gì cho một assembly, nhưng một host đáng tin cậy (như ASP.NET hay Internet Explorer runtime host) cũng có thể gán chứng cứ cho một assembly. Mã lệnh của bạn có thể gán chứng cứ khi nạp một assembly nếu mã lệnh này có phần tử ControlEvidence của SecurityPermission. # Nếu bạn nạp một assembly vào một miền ứng dụng hai lần nhưng gán chứng cứ khác vào assembly này mỗi lần như thế, bộ thực thi sẽ ném ngoại lệ System.IO.FileLoadException. Có nhiều phương thức thực hiện việc gán chứng cứ khi nạp một assembly. Một đặc điểm mà tất cả các phương thức này thường có là nhận một tập hợp Evidence làm đối số—lớp Evidence là mộ t bộ chứa cho các đối tượng chứng cứ. Bạn phải đặt từng đối tượng chứng cứ mà bạn muốn gán cho assembly vào một tập hợp Evidence và truyền nó cho phương thức nạp assembly. Nếu bạn gán chứng cứ mới xung đột với chứng cứ được gán bởi bộ nạp assembly, chứng cứ mới sẽ thay thế chứng cứ cũ. Bảng 13-2 liệt kê các lớp và các phương th ức của chúng trực tiếp hay gián tiếp nạp một assembly. Mỗi phương thức cung cấp một hay nhiều phiên bản nạp chồng chấp nhận một tập hợp Evidence. Bảng 13.2 Các lớp và các phương thức của chúng cho phép bạn gán chứng cứ cho một assembly Lớp/Phương thức Mô tả Lớp System.Activator Các phương thức này ảnh hưởng đến miền ứng dụng hiện hành. CreateInstance CreateInstanceFrom Tạo một kiểu trong miền ứng dụng hiện hành từ assembly được chỉ định. Lớp System.AppDomain Các phương thức này ảnh hưởng đến miền ứng dụng được mô tả bởi đối tượng AppDomain (phương thức được gọi trên đó). CreateInstance CreateInstanceAndUnwrap CreateInstanceFrom CreateInstanceFromAndUnwrap Tạo một kiểu từ assembly được chỉ định. DefineDynamicAssembly Tạo một đối tượng System.Reflection.Emit. AssemblyBuilder, bạn có thể sử dụng nó để tạo động một assembly trong bộ nhớ. ExecuteAssembly Nạp và thực thi một assembly có điểm nhập đã được định nghĩa (phương thức Main). Load Nạp assembly được chỉ định. Lớp System.Reflection.Assembly Các phương thức này ảnh hưởng đến miền ứng dụng hiện hành. Load LoadFile LoadFrom LoadWithPartialName Nạp assembly được chỉ định. Đoạn mã dưới đây trình bày cách sử dụng phương thức Assembly.Load để nạp một assembly vào miền ứng dụng hiện hành. Trước khi gọi Load, đoạn mã này tạo một tập hợp Evidence và sử dụng phương thức AddHost của nó để thêm các đối tượng chứng cứ Site và Zone (các thành viên của không gian tên System.Security.Policy). // Tạo các đối tượng chứng cứ Site và Zone mới. System.Security.Policy.Site siteEvidence = new System.Security.Policy.Site("www.microsoft.com"); System.Security.Policy.Zone zoneEvidence = new System.Security.Policy.Zone(System.Security.SecurityZone.Trusted); // Tạo một tập hợp Evidence mới. System.Security.Policy.Evidence evidence = new System.Security.Policy.Evidence(); // Thêm các đối tượng chứng cứ Site và Zone vào tập hợp Evidence // bằng phương thức AddHost. evidence.AddHost(siteEvidence); evidence.AddHost(zoneEvidence); // Nạp assembly có tên là "SomeAssembly" và gán các đối tượng Site và // Zone cho nó. Các đối tượng này sẽ chép đè các đối tượng Site và Zone // do bộ nạp assembly gán. System.Reflection.Assembly assembly = System.Reflection.Assembly.Load("SomeAssembly", evidence); 1.4 Xử lý bảo mật bộ thực thi bằng chứng cứ của miền ứng dụng V V Bạn cần buộc một giới hạn trên (upper limit) lên các quyền đang có hiệu lực với tất cả các assembly được nạp vào một miền ứng dụng cụ thể. # # Cấu hình chính sách bảo mật để cấp các quyền phù hợp dựa trên chứng cứ mà bạn dự định gán cho miền ứng dụng. Khi tạo miền ứng dụng bằng phương thức tĩnh CreateDomain của lớp System.AppDomain, bạn hãy cung cấp một tập hợp System.Security.Policy.Evidence chứa các đối tượng chứng cứ của miền ứng dụng. Sau đó, nạp các assembly mà bạn muốn giới hạn các quyền của chúng bên trong miền ứng dụng này. Đúng như bộ thực thi gán quyền cho assembly dựa trên chứng cứ mà assembly này đưa ra lúc nạp, bộ thực thi cũng gán quyền cho các miền ứng dụng dựa trên chứng cứ của chúng. Bộ thực thi không gán chứng cứ cho các miền ứng dụng theo cách như nó gán cho các assembly vì không có gì để chứng cứ đó tựa vào. Thay vào đó, mã lệnh tạo miền ứng dụng phải gán chứng cứ khi cần. # Bộ thực thi chỉ sử dụng các mức chính sách công ty (enterprise), máy (machine), và người dùng (user) để tính các quyền của một miền ứng dụng; các chính sách bảo mật của các miền ứng dụng hiện có không giữ vai trò gì cả. Mục 13.12 sẽ thảo luận chính sách bảo mật miền ứng dụng. Các miền ứng dụng không có chứng cứ là trong suốt đối với các cơ chế bảo mật truy xuất mã lệnh của bộ thực thi. Các miền ứng dụng được gán chứng cứ có một grant-set dựa trên chính sách bảo mật và đóng một vai trò quan trọng trong việc phân giải các yêu cầu bảo mật CAS. Khi quá trình thực thi ứng dụng xuyên qua một biên miền ứng dụng, bộ thực thi ghi lại việc chuyển tiếp trên call stack. Khi một yêu cầu bảo mật gây nên một stack walk, bản ghi chuyển tiếp miền ứng dụng được x ử lý giống như các bản ghi stack khác—bộ thực thi đánh giá grant-set kết giao với bản ghi stack để bảo đảm nó chứa các quyền được yêu cầu. Điều này nghĩa là các quyền của một miền ứng dụng ảnh hưởng đến tất cả mã lệnh được nạp vào miền ứng dụng. Thực tế, miền ứng dụng thiết lập một giới hạn trên lên các khả nă ng của tất cả mã lệnh được nạp vào nó. Một ví dụ quan trọng trong sử dụng chứng cứ miền ứng dụng là Microsoft Internet Explorer. Internet Explorer tạo một miền ứng dụng cho mỗi site mà nó download các điều kiểm được-quản-lý từ đó. Tất cả các điều kiểm được download từ một site cho trước—cũng như các assembly mà chúng nạp—chạy trong cùng miền ứng dụng. Khi Internet Explorer tạ o miền ứng dụng cho một site, nó gán chứng cứ System.Security.Policy.Site cho miều ứng dụng này. Điều này bảo đảm rằng, nếu các điều kiểm được download nạp một assembly (ngay cả từ đĩa cục bộ), các hành động của assembly này bị ràng buộc bởi các quyền được cấp cho miền ứng dụng dựa trên chứng cứ Site và chính sách bảo mật. # Trừ khi bạn gán chứng cứ cho miền ứng dụng một cách tường minh khi tạo nó, miền ứng dụng này không ảnh hưởng gì đến các yêu cầu bảo mật (security demand). Để gán chứng cứ cho một miền ứng dụng, bạn hãy tạo một tập hợp Evidence và thêm các đối tượng chứng cứ cần thiết vào đó bằng phương thức Evidence.AddHost. Khi tạo miền ứng dụng mới, bạn truyền t ập hợp Evidence cho một trong các phiên bản nạp chồng của phương thức tĩnh CreateDomain. Quá trình phân giải chính sách thường kỳ của bộ thực thi sẽ xác định grant-set của miền ứng dụng. Ứng dụng dưới đây trình bày cách gán chứng cứ cho một miền ứng dụng. Trong đó, ứng dụng nạp mã lệnh từ một publisher cụ thể vào một miền ứng dụng publisher cụ thể. Bằng cách gán cho miều ứng dụng chứng cứ System.Security.Policy.Publisher mô tả publisher của ph ần mềm, ví dụ này hạn chế các khả năng của mã lệnh được nạp vào miền ứng dụng. Sử dụng chính sách bảo mật, bạn có thể gán mã lệnh của publisher một tập quyền cực đại tương xứng với mức tin cậy bạn đặt vào publisher. using System; using System.Security.Policy; using System.Security.Cryptography.X509Certificates; public class AppDomainEvidenceExample { public static void Main() { // Tạo một miền ứng dụng mới cho mỗi publisher mà ứng dụng này // sẽ nạp mã lệnh của nó. Truyền cho phương thức CreateAppDomain // tên công ty, và tên của file chứa chứng chỉ X.509v3 // của công ty này. AppDomain appDom1 = CreateAppDomain("Litware", "litware.cer"); AppDomain appDom2 = CreateAppDomain("Fabrikam", "fabrikam.cer"); // Nạp mã lệnh từ các publisher vào miền ứng dụng phù hợp // để thực thi. § } // Phương thức này tạo một miền ứng dụng mới để nạp và chạy mã lệnh // trong đó t ừ một publisher cụ thể. Đối số name chỉ định tên của // miền ứng dụng. Đối số certFile chỉ định tên của file chứa // một chứng chỉ X.509v3 cho publisher mà mã lệnh của nó sẽ // được chạy trong miền ứng dụng mới. private static AppDomain CreateAppDomain(string name, string certFile){ // Tạo một đối tượng X509Certificate mới từ chứng chỉ X.509v3 // nằm trong file được chỉ định. X509Certificate cert = X509Certificate.CreateFromCertFile(certFile); // Tạo chứng cứ Publisher mới từ đối tượng X509Certificate. Publisher publisherEvidence = new Publisher(cert); // Tạo một tập hợp Evidence mới. Evidence evidence = new Evidence(); // Thêm chứng cứ Publisher vào tập hợp Evidence. evidence.AddHost(publisherEvidence); // Tạo một miền ứng dụng mới với tập hợp Evidence // chứa chứng cứ Publisher và trả về miền ứng dụng // vừa được tạo ra. return AppDomain.CreateDomain(name, evidence); } } . ứng dụng; các chính sách bảo mật của các miền ứng dụng hiện có không giữ vai trò gì cả. Mục 13. 12 sẽ thảo luận chính sách bảo mật miền ứng dụng. Các miền. danh cho một assembly thông qua việc cấu hình chính sách bảo mật. Bạn phải sử dụng cú pháp bảo mật khai báo (declarative security syntax) để hiện thực một