问题标签 [full-trust]

在网络驱动器上运行时，我们的 C++ 解决方案（调用 .NET 4.0 程序集）有一个奇怪的问题。该解决方案使用 NetTcpBinding 托管多个 WCF 服务，其中之一具有非默认绑定配置。在部分信任下，非默认 NetTcpBinding 本身是不可能的（请参阅 Stack Overflow 问题WCF NetTcpBinding 何时需要对客户端完全信任？），但该解决方案在完全受信任的网络驱动器下运行。这确实适用于几台不同的计算机（Windows Vista 和 Windows 7），但在一台（Windows Vista）上失败并抛出异常，

为“system.serviceModel/bindings”创建配置节处理程序时出错：该程序集不允许部分受信任的调用者。（K:\Somepath\Testing.exe.Config 第 6 行）

如果该解决方案确实在该计算机上的部分信任下运行，但它确实在完全信任下运行，则此异常完全可以。即使我检查对代码的完全信任也是如此。

我们用其中一台工作的计算机仔细检查了 Internet 选项 - 没有差异。

所有 DLL 文件和 EXE 文件都是强命名的。

更新： 网络驱动器在特定计算机上完全受信任 ( caspol.exe)。

我们应该寻找什么？

如果您需要更多信息，请告诉我。

更新 2： 我们仍然有这个问题，现在甚至在一台计算机上（Windows 7）。所以它似乎是独立于操作系统的。

I have an XBAP which needs Full Trust to run. I have had it working on a number of client machines by adding a temporary certificate to the Trusted Root Certification Authorities and Trusted Publishers. This is fine on a small scale, but I really don't want to have to do this on every machine where the app will be used.

I was under the impression that if I purchased a certificate from certification authority and signed the manifests with this, the app would run with Full Trust, or at least prompt the user with the option to run. This however, does not appear to be the case.

Do I still need to configure each individual machine to allow the app to run with full trust? I am hoping I have simply set it up incorrectly.

Thanks.

IIS7 中的托管客户可以使用 asp.net 和 System.Diagnostics 列出所有系统的进程 ID。他们还可以杀死属于他们自己的应用程序池的那些。对于共享托管环境来说，这似乎是 IIS7 中的一个大安全问题。有关如何防止普通用户访问 System.Diagnostics 的任何建议？如何仅限于管理员？

我正在使用 Silverlight 4.0 中提供的 COM 互操作功能使用本地计算机的一些资源。因此，我自然需要具有提升权限的 OOB。但是，就我而言，我正在使用托管在 HTTPS 通道上的 WCF 服务。这是我面临问题的地方。应用了提升权限的 OOB 不允许我使用托管在不同域或相同域上的 HTTPS 服务，这给了我一个 NotFound 异常。请注意，我在开发环境中使用了自签名证书。同样也安装在我正在测试的客户端计算机的 Trusted Root 文件夹中。

有趣的是，当我设置 Fiddler 选项（在 Fiddler 会话中，Toos -> Fiddler 选项 -> HTTPS 选项卡）以拦截 HTTPS 流量，并设置了解密 HTTPS 流量复选框时，我可以毫无例外地使用相同的 HTTPS 服务。但是为此，Fiddler 告诉我在我的用户配置文件的 Fiddler 目录中存储一个临时证书，并且当时我必须至少有一个 Fiddler 会话。因此，这似乎是一个认证问题。但它是否与使用所需证书签署 XAP 文件有关？我不知道。我尝试使用自签名证书并绑定我的图层服务 URL 以使用该证书。然后我将相同的证书安装到客户端的受信任根文件夹中。但我没有成功用该证书签署 XAP。

如果您有任何解决方法，请告诉我。

我有两个 Web 应用程序（预编译的站点），一个是第一方的，将在完全信任的情况下运行。另一个是第三方，应该以部分信任（或具有特定权限）运行。

TrustedAssembly.Web.Pages.MyPage应该在完全信任的默认 AppDomain 中运行。 UntrustedAssembly.Web.Pages.SomePage应该在部分信任的 AppDomain 中运行。

此外，如果TrustedAssembly.Web.Pages.MyPage动态加载，是否UntrustedAssembly.Web.Controls.SomeControl可以在部分信任和/或特定权限下运行控件，而页面在完全信任下运行？

反之亦然，例如UntrustedAssembly.Web.Controls.SomePage动态加载TrustedAssembly.Web.Controls.MyControl，是否可以在页面在部分信任下运行时以完全信任的方式运行控件？

更新/仅供参考：这是.NET 4

我正在考虑完全信任 XBAP，但刚刚听说 SL5 的 P/Invoke 能力。这是非常令人兴奋的，因为 XBAP 部署非常困难，因为它只适用于 IE，有时适用于 Firefox，而从不适用于 chrome。

有没有人有这个功能的详细信息，以及它的跨浏览器支持（当然是在 x86 机器上）

我正在运行以下代码，它试图访问自定义程序集。

上面的行抛出了下面列出的各种异常：

该应用程序需要完全信任权限才能正确运行。
在部署办公解决方案时，请检查以确保您已满足所有必要的安全要求。使用证书获取所需的权限。
如果实现自定义安全对象的程序集引用其他程序集，请将引用的程序集添加到完全信任程序集列表中。

在所有版本的 IE 和 windows 中都有很多设置，这可能会给尝试运行 xbap 应用程序的用户带来问题，特别是在完全信任模式下。

在过去的一年里，我似乎收集了一长串此类案例。但是，我对这个异常感到困惑，它发生在我的一个系统上的用户身上，我希望这里的某个人可以为我指明正确的方向。

此应用程序在所有使用的 Windows 版本和 IE6 -> IE9 上运行，没有问题，因此部署/xbap 本身没有任何问题。用户得到下面的错误日志/堆栈跟踪。你们中是否有人遇到过这种模糊的痕迹，并且知道问题可能是什么？此用户正在运行 IE8 和 W7。

用户在受信任的根权限和受信任的发布者中安装了适当的证书。相关站点已添加到受信任站点列表中。Xbap 已在 IE 中启用。

URLs、publickeys、appname 等都被打乱了。

Brgds，斯蒂安

我目前正在一个 ASP.NET MVC 站点上工作，我们必须在该站点上运行部分信任。现在，我在高度信任时遇到了连接到 AppFabric 的问题。完全信任运行时没有问题。我的 web_hightrust.config 文件中需要什么权限。

失败的方法如下所示：

如您所见，我已经用我认为应该足以建立连接的方法对该方法进行了注释，但它失败了。

任何想法表示赞赏。

我们遇到了命令行（批处理）应用程序和完全/部分信任的问题。

我们之前的版本（版本号 7.13.0.63）工作正常，但是，当我们安装新版本（7.13.0.249）时，我们会收到“该程序集不允许部分受信任的调用者”。

例外：

关于我们用于部署产品的过程，我们使用通过 WiX 创建的 MSI。我们执行以下步骤：

• 卸载以前版本的产品
• 从网络共享复制 msi（两个版本的共享相同，基于版本的不同子目录）
• 以管理员身份安装 msi
  • 这将安装到 C:\Program Files (x86)

两个版本之间的唯一变化是：

• 在 app.config 文件 (myapp.exe.config) 中包含一个额外的 AppSettings 项以指定事务超时
• 将“使用新的 TransactionScope()”更改为“使用新的 TransactionScope(TransactionScopeOption.Required, timeoutValueReadFromAppSettingsAndStoredInLocalVariable)”
  • WCF 客户端的创建不在此事务范围内。

附加信息：

• 在我们的任何 dev/staging/qa/pre 生产环境中都不会发生异常。它只发生在我们的生产应用程序服务器上。
• 我们正在向我们的组织推出 Windows 7，因此企业政策可能已经改变。
• 该应用程序面向 .Net Framework 4.0
• 如果我们卸载新版本并重新安装旧版本（包括从网络共享的副本）旧版本仍然可以正常工作
• 正在安装的机器是 Windows Server 2008 R2
• 该机器是托管在 VMWare 环境中的虚拟机

理想情况下，我想知道一些事情：

1. 如何更改程序集（或在安装后设置权限）以便它可以在完全信任模式下运行
2. 如何在 dev/staging/QA 环境中复制问题
   • 明确地“不信任”程序集可能会复制它，但我想以与生产相同的方式复制它，以便在安装时将其识别为不受信任，在我看来，这样做的方式与“不信任”我从中复制 MSI 的网络共享，或者可能“不信任”MSI/程序集中的发布者信息。
3. 如何配置生产应用程序服务器/安全策略，以便完全信任未来的安装（回答第 2 项很可能会回答这个问题）

谢谢