Безопасность приложения ClickOnce - PullRequest
1 голос
/ 25 августа 2010

У меня есть приложение (exe), которое использует некоторые строго названные DLL.Если я правильно понимаю, никто не сможет заменить dll своими, подготовленными версиями, потому что они не будут подписаны.Никто не может заменить exe-файл, потому что он защищен подписанием манифеста.

Но что, если кто-то подготовит свой собственный exe-файл и изменит подпись в файле манифеста?

1 Ответ

2 голосов
/ 25 августа 2010

Если кто-то может переписать файл манифеста, заменить исполняемый файл одним из выбранных и заменить любые dll, которые он хочет, на те, которые он выберет, тогда все ставки сняты.

Помните, что единственным человеком, способным подписать манифест под вами , должен быть вы. Если кто-то еще имеет доступ к вашему секретному ключу, он может легко это сделать. Ваши пользователи должны знать, что они должны читать любую информацию, отображаемую на экране, которая гласит: Какое приложение, которое они запускают, и Кто подписал его. Безопасность - это всего лишь слабое звено в цепочке, к сожалению, обычно это пользователь.

Задумывались ли вы о ClickOnce, когда приложение загружается из источника при каждом запуске, а не кэшируется на ПК пользователя. Это будет хотя бы частичное смягчение?

...