gpt4 book ai didi

c# - 使用数字签名对强命名程序集进行签名是一种不好的做法吗?

转载 作者:太空狗 更新时间:2023-10-29 23:59:54 24 4
gpt4 key购买 nike

我很好奇,通过 Google 研究,我一直在学习数字签名和强命名程序集。如果您真的很努力,似乎可以使用数字签名来签署强命名程序集。

我推测,通过这种做法,可以通过这种方式来规避数字签名的目的。

微软说:

"strong names in and of themselves do not imply a level of trust like that provided, for example, by a digital signature and supporting certificate."
-- http://msdn.microsoft.com/en-us/library/wd40t7ad%28v=vs.110%29.aspx

猜测是否正确,以这种方式使用数字签名实际上是一种不好的做法,可能会造成安全漏洞并且绝对没有用?甚至有可能吗?使用数字签名作为强名称是可行的还是什么都不做更好?除了正确使用数字签名之外,它是否提供了一些额外的安全性。

最佳答案

Is it a bad practice to use a digital signature to sign a strongly named assembly?

没有。这是一个非常好的做法。

It appears possible to use a digital signature to sign a strongly named assembly if you really try hard.

这有点棘手,因为强命名和数字签名都会修改程序集。程序集必须先强命名,然后签名。

I speculate that with this practice it is possible to circumvent the purpose of a digital signature by using it this way, as the strongly named assembly can be hacked

好的,所以您推测存在攻击。我推测没有。说明漏洞和拟议的攻击。<​​/p>

(at least some post said so).

你想让我们猜猜哪个帖子是这样说的吗?

"strong names in and of themselves do not imply a level of trust like that provided, for example, by a digital signature and supporting certificate."

没错。强名称和数字证书很相似,但它们解决的问题不同。强名称解决了程序集的识别问题。签名解决了信任链问题。

I have seen examples of Internet posters trying to do exactly that thinking that they are protecting their software.

强命名和证书签名都不能保护软件!安全系统的目的不是保护软件,而是保护用户。我们没有驾驶执照来保护机动车部门免受忍者的攻击。我们有驾驶执照,以证明执照持有人确实是他们所说的人,并且被允许驾驶。任何认为强命名可以保护软件的人都非常非常困惑。

Am I correct in guessing that using a digital signature in this way is actually a bad practice, that may create a security hole and definitely serves no purpose?

不,你在每一个方面都错了。

it a good or bad thing to cross the streams (please excuse the humor.)?

为什么会是坏事?我们所拥有的只是您声称存在攻击,但没有任何证据表明确实存在攻击。

Or is it even possible?

当然有可能。

are the posts I have seen with references to using the two in concert (using a digital signature to sign an assembly specifically as strongly named (not digitally signed)) possible or better then then doing nothing?

您要求我们对我们尚未阅读且您未提供链接的帖子的准确性发表评论。我们如何知道它们是否准确?

关于c# - 使用数字签名对强命名程序集进行签名是一种不好的做法吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22235279/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com