Sicherheitsüberlegungen bei der Verwendung von Codeausschnitten
Aktualisiert: November 2007
Von Visual Studio installierte IntelliSense-Codeausschnitte stellen an sich keine Sicherheitsgefährdung dar. Abhängig davon, wo sie verwendet und wie sie geändert werden, können sie allerdings ein Sicherheitsrisiko für die Anwendung darstellen. Aus dem Internet gedownloadete Ausschnitte sollten wie jeglicher anderer gedownloadeter Inhalt behandelt werden.
Ausschnitte aus dem Internet
Beim Downloaden von Ausschnittdateien aus dem Internet ist Folgendes zu beachten:
Die Dateierweiterung SNIPPET garantiert nicht, dass die Datei Nur-Text-XML enthält. Um unerwünschten Code fernzuhalten, downloaden Sie von vertrauenswürdigen Sites und verwenden Sie aktuelle Virussoftware.
Der Hilfe-URL, der Teil der Ausschnittdatei ist, kann möglicherweise eine bösartige Skriptdatei ausführen oder eine anstößige Website anzeigen. Der Hilfe-URL wird beim Einfügen des Ausschnitts im Code-Editor nicht angezeigt, ist jedoch sichtbar, wenn die Ausschnittdatei im XML-Editor oder einem anderen Editor, z. B. Editor, bearbeitet wird.
Der Code selbst kann Code enthalten, der das System bei der Ausführung beschädigen kann. Lesen Sie den Quellcode sorgfältig, bevor Sie ihn ausführen. Ein Teil des Codes kann in reduzierten #Region-Direktive-Abschnitten enthalten sein. Erweitern Sie diese Abschnitte, und lesen Sie den Code.
Der Ausschnitt kann Verweise enthalten. Diese Verweise werden dem Projekt automatisch hinzugefügt und können von beliebigem anderen Code im System geladen werden. Diese Verweise wurden möglicherweise von der Stelle auf den Computer gedownloadet, von der Sie den Ausschnitt gedownloadet hatten. Der Ausschnitt kann dann eine Methode im Verweis aufrufen, die bösartigen Code ausführt. Um sich gegen einen solchen Angriff zu schützen, lesen Sie die Ausschnittdatei sorgfältig durch, bevor Sie den Ausschnitt einfügen, und downloaden Sie nur von vertrauenswürdigen Sites.
Sicherheit für alle Ausschnitte
Wie sicher ein Ausschnitt ist, hängt davon ab, wo er im Quellcode verwendet und wie er nach dem Einfügen in den Code verändert wird. Die folgende Liste enthält einige Bereiche, die besondere Aufmerksamkeit verdienen:
Datei- und Datenbankzugriff
Codezugriffssicherheit
Schützen von Ressourcen (z. B. Ereignisprotokolle, Registrierung)
Speichern von Geheimnissen
Überprüfen von Eingaben
Übergeben von Daten an Skripttechnologien
Weitere Informationen finden Sie unter Sichern von Anwendungen.
Siehe auch
Aufgaben
Gewusst wie: Suchen von Codeausschnitten online