Wie effektiv F # Assemblys für partielles Vertrauen zu erstellen?

Question

Hat jemand Erfahrung mit F # -Code in Teilvertrauenszenarien? Wie in, Erstellen von Baugruppen mit [<AllowPartiallyTrustedCallers>]?

Ich arbeite an ein paar Projekten, die wir in teilweise Vertrauen ausführen müssen, und wir haben versucht, Level 2 Security Rules (http://msdn.microsoft.com/en-us/library/dd233102.aspx) zu verwenden. In der Praxis für unsere in sich geschlossenen Versammlungen ist das einfach - setzen Sie einfach ein Attribut; aber manchmal verweisen unsere Assemblies auf Drittanbieter-DLLs, die nicht kommentiert sind und "SecurityCritical" angenommen haben. Hier wird es "interessant".

Nachdem ich in den letzten paar Tagen damit gearbeitet habe, scheint es ein ernstes Problem mit F # zu geben. Die .NET-Sicherheitsrichtlinie erwartet, dass Sie Typen/Methoden mit annotieren, wenn sie "SecurityCritical" -Code referenzieren oder aufrufen, was der größte Teil des Codes in NuGet ist, da dies der Standardwert ist. In F # funktioniert das jetzt so lange, bis Sie mit den Schließungen beginnen. Sie können nicht tun:

namespace Foo 

open System.Security 

[<assembly: AllowPartiallyTrustedCallers>] 
[<assembly: SecurityRules(SecurityRuleSet.Level2)>] 
do() 

[<SecurityCritical>] 
module C = 
    let get() = [ 1 .. 10 ] 

[<SecuritySafeCritical>] 
module M = 

    let foo() = 
     seq { 
      for i in 1 .. 10 do 
       yield! 
        C.get() 
        |> Seq.filter (fun x -> x % 2 = 0) 
     } 

Diese Baugruppe versagt SecAnnotate.exe Kontrollen passieren, weil F # -Compiler des Verschlusses an einem separaten Typ hebt, die nun mit [<SecuritySafeCritical>] kommentierten nicht ist, standardmäßig transparent, aber Referenzen einige kritische Code, der eine ist Error.

Es klingt wie eine kleine Einschränkung, aber es kostet mich viele Stunden Code zu ändern, um Schließungen zu vermeiden und SecAnnotate Einschränkungen zu erfüllen. Vielleicht könnte F # Sicherheitsattribute an von ihm erstellte Schließungstypen propagieren? Gibt es einen anderen einfachen Weg, den ich vermisse?

Answer 1

Sie können SecurityCritical gelten als Montageebene Attribut:

[<assembly: SecurityCritical>] 

Ein besserer Ansatz aber, Sie gehen davon nur eine „plain“ F # Montage Schreiben - das heißt, eine, die nichts zu tun ist die erfordert besondere Sicherheits (zB P/Invoke) - wäre zu ersetzen:

[<assembly: AllowPartiallyTrustedCallers>] 

mit

[<assembly: SecurityTransparent>] 

Die MSDN-Seite für SecurityTransparentAttribute sagt:

Gibt an, dass eine Versammlung nicht eine Erhöhung von Berechtigungen führen kann.

Auf transparente Assemblys kann von teilweise vertrauenswürdigem Code zugegriffen werden und der Zugriff auf geschützte Ressourcen oder Funktionen kann nicht offengelegt werden. Der Code in der Assembly darf keine Codezugriffssicherheitsprüfungen unterdrücken und darf keine Rechteerweiterungen verursachen.

Die F # 3.0-Version von FSharp.Core verwendet dieses Attribut aus dem gleichen Grund auch.

Links zu weiteren Informationen:

• When the Opposite of Transparent isn't Opaque
• Marking Your Code Transparent