有人可以向我解释ASP.NET的信任级别吗？

Question

我听说过很多关于信任级别的信息，有人试图向我解释，但仍然无法给出一种情景，我将其中一种信任级别应用于另一种信任级别。

我已经通过阅读MSDN's article但它并没有为我做了。

有人可以提供一个真实世界的例子，当你想要使用各种级别（全，高，中，低和最小），并解释我将暴露自己，如果我是什么样的安全风险使用错误的？

Answer 1

This article可能解释了很多比技术一个你读好。

这里是最好的部分：

中等信任摘要

放在媒体 信任Web应用程序的主要制约因素有：

• OleDbPermission不可用。这意味着您不能使用ADO.NET管理的OLE DB数据提供者 访问数据库。但是，您可以使用受管SQL Server 提供程序访问SQL Server 数据库。

• EventLogPermission不可用。这意味着您不能 访问Windows事件日志。

• ReflectionPermission不可用。这意味着您不能使用 反射。

• RegistryPermission不可用。这意味着您不能 访问注册表。

• WebPermission受限制。这意味着您的应用程序只能通过 与您在 元素中定义的地址或范围 进行通信。

• FileIOPermission受限制。这意味着您只能在应用程序的虚拟 目录层次结构中访问文件 。您的应用程序 被授予读，写，追加，并为您的 应用程序的虚拟目录 层次 PathDiscovery权限。

• 您也被阻止拨打 非托管代码或使用 企业服务。

一个简单的现实世界的情况，想象你需要这个，如果你是一个ISP提供托管人。允许任何人编写可以访问文件系统的代码意味着任何人都可以在您的服务器上执行任何他们想要的任务，这可能是托管多个客户端。

Answer 2

虽然不是专家，我想给的信任比较常见的例子之一是，如果你买通过一些厂商一个月$ 10，你不必机直接访问主机通过一个共享的主机托管服务提供商，但获得一个分配的存储空间。在这种情况下，您通常会获得中等信任，因为托管方希望限制您可以执行的操作（确保您无法删除或修改不应该有的内容），并且无法访问某些资源（如尝试读取您有权限的文件夹以外的文件）和其他任务。

我们已经完全进入我们的机器，我们主办的网站，我们给它充分的信任，它不是因为它专注于我们的网站，而不是一个共享的资源为我们关注的问题。

Answer 3

信任级别的问题是，如此多的插件需要提升的权限，以至于某些类型的应用程序根本无法使用。

我个人认为Crystal Reports和HTML到PDF转换工具在中等信任下失败 - FileIOPermission对于应用程序虚拟目录之外的Temp文件夹是必需的。由于某些信任级别，我还看到TCP套接字连接被阻塞的问题。

去年，我实际上对一个web应用程序产生了一个相当烦人的情况，那就是安全性需要中等信任度，但是写入事件日志也是如此！

幸运的是，如果服务器配置为允许覆盖machine.config文件，您可以覆盖服务器上machine.config中的Trust级别（如果有权访问它）或web.config。

这样做虽然破坏固定信任级别的目的...