샌드 박스 AppDomain의 스레드 보안

Question

신뢰할 수없는 코드/어셈블리를 호스팅 할 응용 프로그램 도메인이 있습니다. 나는 보안 속성으로 보안 문제를 모두 해결했다. 신뢰할 수없는 코드는 전용 스레드에서 실행됩니다. CLR은 2.0입니다. 이것은 AppDomainShellAppDomainSeed입니다. 쉘이 주 도메인에서 실행 중이며 시드가 신뢰할 수없는 도메인의 신뢰할 수있는 프록시/도우미입니다.

새로운 스레드 생성 및 우선 순위 변경을 제한하고 싶습니다.. 현재 신뢰할 수없는 어셈블리가 ThreadPriority를 ​​설정할 수 있습니다. 10k 스레드를 생성하여 운영 체제를 가장 위험에 처하게하거나 죽일 수 있습니다. SecurityPermissionFlag.ControlThread이 있지만 Abort()와 같은 고급 작업을 막을 수 있습니다.

스레드 클래스 구현을 살펴 보았습니다. 간단한 작업을위한 C# API에는 선언적 보안이 없으며 나머지 구현은 기본입니다.

OS 레벨에서이를 막기 위해 Win32의 일부 기능을 사용할 수 있다고 생각합니다. 그러나 운영 체제가 신뢰할 수없는 스레드/코드/어셈블리를 어떻게 인식합니까? SetThreadPrincipal()?

악용 될 수있는 CLR API가 있습니까? 나는 설치가 필요없고 Mono에 포팅 할 필요가없는 솔루션을 선호한다. -/hmmm.

다른 아이디어는 환영합니다. 감사!

Answer 1

다른 해결책을 고려 중입니다. 신뢰할 수없는 어셈블리의 CIL 정적 분석. 모든 메소드, 속성, 생성자를 검색 할 수 있습니다. 유형에 대한 참조를 인식합니다. 스레드 유형에 대한 참조를 찾으면 보안 예외가 발생하고 어셈블리가로드됩니다.

나는 Jb Evain의 일을 아주 좋아합니다. 그는 Mono Cecil을 만들었지 만 꽤 큰 체형입니다. 그는 또한 CIL reader의 초안을 .NET 리플렉션과 함께 작성했습니다.

CIL Reader를 사용하여 Linq over reflection을 만들었습니다. 사용법은 이렇게 보입니다.

var myAssembly = typeof (Program).Assembly; 
foreach (Type usedType in myAssembly.GetUsedTypes()) 
{ 
    if (typeof (Thread).IsAssignableFrom(usedType) || 
     typeof (ThreadPool).IsAssignableFrom(usedType) || 
     typeof (ThreadPriority).IsAssignableFrom(usedType) 
     ) 
    { 
     throw new SecurityException("Thread usage is banned here!"); 
    } 
} 

Answer 2

스레드는 단일 프로세스 내에서 실행되므로 신뢰할 수없는 코드가 프로세스의 우선 순위를 변경할 수 없기 때문에 안전해야합니다. (자세한 내용은 MSDN here을 참조하십시오.)

프로세스 내에서 10k 스레드를 만들조차도 필연적으로 Windows를 죽일 것이라는 것은 확실하지 않습니다. 적어도 Windows NT 위의 Windows 버전은 아닙니다. 그러나 프로세스가 거의 실행되지 않을 것이므로 프로세스 인을 고려하고 원격 또는 WCF와 같은 메커니즘을 사용하여 프로세스간에 통신 할 수 있습니다.

Answer 3

아마 HostProtectionAttribute은 신뢰할 수없는 코드로 스레드 조작을 제한하기위한 올바른 것입니까?