某些网站因任何原因需要完全信任,例如使用需要完全信任的第三方控件。
这就是场景:假设您正在托管一个完全信任的网站,并且网站所有者决定在系统上做一些邪恶的事情。该站点只能连接到其数据库。该站点在用户下运行,该用户仅用于该站点。该用户已锁定文件系统的权限,他们只能在站点的文件夹/子文件夹,系统的临时文件夹和“临时ASP.NET文件”文件夹中写入/删除/读取文件。
我的问题是,完全信任的网站是否可以对管理员无法控制的系统造成任何伤害?我不是asp.net安全专家,但我认为可以为某些权限被撤销的网站创建一个自定义配置文件,同时给予他们完全信任?
我感谢发布关于保护完整信任网站的良好资源。我不相信完全信任等于在系统上搭便车!
答案 0 :(得分:1)
风险是你(我们)没有想到的事情。 它不像Windows从来没有允许用户升级的错误。