Nếu họ bỏ qua các chính sách CAS, có thể sẽ là một việc khó khăn để khiến họ quay lại, vì nó khiến công việc của họ khó khăn hơn một chút (hoặc ít nhất, ít được tha thứ hơn). Thay đổi các thực hành bảo mật luôn luôn khó khăn - như khi tôi phải thuyết phục sếp rằng việc sử dụng các tài khoản SA trong chuỗi kết nối SQL của các ứng dụng web của chúng tôi là một ý tưởng tồi - nhưng treo ở đó.
Tin cậy đầy đủ cho phép ứng dụng leo thang để kiểm soát bất kỳ tài nguyên nào trên máy tính. Mặc dù bạn phải có lỗ hổng bảo mật trong ứng dụng của mình để cho phép những điều này và có thể họ cho rằng họ đã ngăn chặn bất kỳ sự leo thang nào thông qua lập trình sắc sảo, nhắc nhở họ rằng ứng dụng web không có quyền kiểm soát toàn bộ máy tính? Ý tôi là, chỉ trong trường hợp?
EDIT: Tôi hơi quá hăng hái với ngôn ngữ của tôi ở đây. Full Trust sẽ cho phép ứng dụng kiểm soát bất cứ điều gì nó muốn, nhưng chỉ khi quá trình Hồ bơi ứng dụng có đủ quyền để làm điều đó. Vì vậy, nếu bạn đang chạy như một người dùng hạn chế không có quyền trên máy chủ ngoại trừ những gì các ứng dụng cần, sau đó tôi cho rằng về cơ bản không có rủi ro để "Full Trust". Thực tế là chủ sở hữu hồ bơi ứng dụng có nhiều khả năng bạn không muốn ứng dụng của mình có (và trong một số trường hợp, nhiều, nhiều hơn thế nữa), vì vậy an toàn hơn nhiều để hạn chế bảo mật ứng dụng và cấp quyền bổ sung cho ứng dụng. Cảm ơn vì đã sửa, Barry.
Đừng nhầm lẫn khái niệm bảo mật mã .NET của Full Trust với ủy quyền Windows. Đặt Full Trust không cấp bất kỳ quyền mới nào cho tài khoản của quy trình công nhân ASP.NET. Windows sẽ vẫn như vậy giới hạn quyền truy cập vào hệ thống tập tin theo DACLs vv –
Đúng, nhưng với Full Trust một hội đồng có đủ thông tin Windows (được cho là chính sách CAS lỏng lẻo, đó là điều đầu tiên tôi tìm kiếm nếu tôi đang xem xét ứng dụng này ....) đơn giản có thể bắt đầu thay đổi DACL. – TheSmurf
Eh ... no. Bạn có nghĩ rằng, ví dụ tài khoản khách chỉ có thể sửa đổi quyền trên các tệp OS và bắt đầu viết ngẫu nhiên? Bạn đã bao giờ gặp phải vấn đề trong thực tế với tài khoản iusr chưa? –