.NET Security Blog : FullTrust on the LocalIntranet

.NET Security Blog : FullTrust on the LocalIntranet

まぁ多少は考えているらしい。

レジストリのHKLM\Software\Microsoft\.NETFramework registry keyにLegacyMyComputerZoneという名前でDWORD値を1に設定すれば今まで通りの挙動となる。ただこれはやっぱりデフォルトが逆でこのようなレジストリを設定して初めて共有先からの起動が許可されるか、あらかじめこの設定がなされているべきだと思う。

今回のLocalIntranetゾーンがFullTrustになるが、以下の制限が設けられる。

    1. Any managed .exe which is launched directly from a network share
    2. Any assembly in that .exe’s process which is loaded from the same directory as the .exe itself was.
  1. マネージドな.EXE(実行ファイル)はネットワーク共有から起動することができる。
  2. アセンブリは.EXEのプロセスが起動された同じディレクトリからのみ起動できる。

その場合以下のことは禁止される。

    1. Assemblies loaded from a subdirectory of the share where the .exe was launched from
    2. Assemblies loaded from shares other than the one where the main .exe was launched
    3. Any assembly loaded on a machine with the LegacyMyComputer registry value set to 1
    4. Any assembly loaded into a CLR host, including assemblies loaded into Internet Explorer as controls.
    5. Any assembly loaded from shares by an application that was launched from the "real" MyComputer zone.
  1. .EXEのプロセスが起動されたディレクトリのサブディレクトリからのアセンブラ(DLL)を起動すること
  2. .EXEのプロセスが起動されたディレクトリとは別の共有先からのアセンブラ(DLL)を起動すること
  3. LegacyMyComputerレジストリの値が1になっているコンピュータで共有先から起動すること
  4. Internet Explorer内部でコントロールとしてホストされているCLRにアセンブリとして(共有先のアセンブリを)ロードすること
  5. 「現実の」MyComputerゾーンから起動されたアプリケーションから共有先のアプリケーションを起動すること。

ということで一応は考えて対策されてはいるようです。でもやっぱりデフォルトは逆だよ。

コメントを残す