SORU
20 AĞUSTOS 2009, PERŞEMBE


'in ne dağıtma riskini semboller (pdb dosyası) bir üretim ortamında hata ayıklama?

Özel durum strack izleri açan bir uygulama var ve bu izleri üretiminde kullanıldığında, dosya isimleri ve satır numaraları eklemek için yığın istedim. Ben anladım dağıtma hata ayıklama sembolleri w/ derleme, ama bu süreçte araştırma sorunu araştırdım genelinde this question, ima değil, iyi bir fikir vardır pdb dosyalarını bir üretim ortamı. Kabul cevabı için bir yorum "...hata ayıklama bilgisi hassas verileri vermek ve bir saldırı vektör söylüyor. Uygulamanıza bağlı."

Ne tür hassas verilerin maruz olabilir? Nasıl hata ayıklama sembolleri bir uygulama uzlaşma için kullanılabilir mi? Teknik detayları merak ediyorum, ama gerçekten aradığım herhangi bir uygulama ve üretim ortamı için hata ayıklama simgeleri de dahil olmak üzere riskini değerlendirmek için pratik bir yoldur. Olabilecek en kötü şey ne? ya da bir başka deyişle:

DÜZENLEME:takip soru açıklama/

Yani herkesin cevaplara göre şimdiye kadar bu soru biraz daha basit olabilir gibi görünüyor .NET uygulamaları. John Robbins blog Michael Maddox's answer de bağlı bu biraz bana dışarı fırladı:

Bir .NET PDB sadece iki parça içerir kaynak dosya adları bilgi ve onların hatları ve yerel değişken isimler. Diğer tüm bilgileri. zaten içinde .NET yani meta aynı yinelenen gerek PDB dosyası bilgileri.

Benim için, bu Diğerleri Reflektör hakkında söyledikleri, ima asıl mesele derlemeler erişim olmakla yineledi. Bir kere tespit edilerek, sadece karar vermek ile ilgili Pdb olup olmadığı umurunda açığa dosya adları, satır numaraları ve yerel değişken adları (farz olmadığını gösteren yığın izleri için son kullanıcılar ile başlamak). Ya da basitleştirilmiş bu kadar çok var?

CEVAP
20 AĞUSTOS 2009, PERŞEMBE


Burada bakmak için başka bir soru:

Are there any security issues leaving the PDB debug files on the live servers?

Ve PDB dosyaları hakkında daha fazla bilgi:

PDB Files: What Every Developer Must Know

Genel olarak, ben her zaman benim dağıtımları pdb dosyaları dahil, Kazanımları göz ardı edilemeyecek kadar büyük.

Eğer hiç bir kullanıcı (genellikle olmamalı) yığın izleme ifşa ederse, gerçekten PDB dosyaları dağıtma herhangi bir ek güvenlik riski yok.

Bir kullanıcı görünür iz olur yığını kullanıcının tam yığın izleme, dosya adı ve dosya satır numaraları da dahil olmak üzere görebiliyor. Bu onları uygulamanızı olası bir hack durumunda onlara yardımcı olacağını tasarlandı nasıl bir fikir verebilir.

Daha büyük bir güvenlik tehdidi DLL üzerinde kullanılan kaynak kodu, ya da pdb dosyalar olmadan görüntülemek için izin verecek Reflector gibi bir şeydir.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • BurnedInDotCom

    BurnedInDotC

    3 NİSAN 2010
  • Orson Wang

    Orson Wang

    28 EKİM 2006
  • POGProductionz

    POGProductio

    27 NİSAN 2012