Que signifient exactement les signatures Delay et les noms forts dans .net?

J'ai vu dans de nombreux article, il est écrit que
Retard de signature et nom fort pour une assemblée empêche de hi-cric.

Ça veut dire quoi?

La seule chose que je sais, c'est sans un nom fort, vous ne pouvez pas installer un assembly dans le GAC.
Supposons donc que j'ai un assemblage sans un nom fort, Peut-il être hi-cric?

Quelqu'un veuillez préciser mon doute.

source d'informationauteur Deviprasad Das

  1. 35

    Il ya beaucoup d'informations à ce sujet sur MSDN; par exemple: Forte De Nommageet Retard De Signature

    Pour résumer l'idée de base:

    Nom fort est une façon de l'estampage de votre assemblée avec une simple marque d'identification, qui peut être utilisé plus tard pour valider qu'il n'a pas été modifié depuis qu'il a été déployé. Le nom fort est en fait un hachage de l'assemblée, nom, version, et une "forte-nom de la clé" unique pour le développeur. Les références à de fortes nom assemblées passer par plus strictes que la validation de la référence à la non-fortement-nommé; en particulier, la forte-nommé références doivent correspondre à des numéros de version, et le nom fort de hachage doivent correspondre.

    Cela permet d'éviter les deux sources les plus courantes d'éventuelles failles de sécurité dans vos programmes:

    1. Un utilisateur malveillant remplace une assemblée dans votre programme avec un montage différent avec le même nom de fichier, mais qui contient du code malveillant, et le convainc de votre programme à charger et exécuter.
    2. Un utilisateur malveillant remplace une assemblée dans votre programme avec une version différente de la même assemblée, mais qui a connu des bugs qui ont été corrigés.

    Le nom fort processus de rejeter à la fois de ces actions, parce que le puissant nom de données ne correspondent pas. C'est pourquoi assemblées dans le GAC doit être fort nommé: ils sont utilise de manière ubiquitaire, il aurait des principales cibles de ce genre de détournement.

    Noter, cependant, que les noms forts ne font absolument rien pour vérifier l'identité de l'éditeur. N'importe qui peut publier un fortement nommées par l'assemblée prétendant être de Microsoft et il n'y a rien dans le nom fort de réfuter cette affirmation. Vérification de l'identifier est le travail de Authenticode signatures numériques, qui sont différentes de nom fort. Les deux sont souvent utilisés ensemble, mais ils sont orthogonaux concepts.

    Retard de signature est une technique de signature assemblées à l'extérieur du processus de construction. L'idée ici est, votre entreprise peut avoir des politiques qui ne permettent pas le nom fort touches d'être disponible au moment de la construction (ils sont peut-être conservé hors ligne, ou sécurisés par un mot de passe.) Un retard signé assemblée est marqué par un vide de clés de nom fort: il veut réserve de l'espace pour la clé pour être ajouté plus tard, par un utilisateur autorisé. Dans le même temps, une partie du nom de la clé est inclus -- juste assez d'informations pour d'autres assemblées pour faire une référence forte, mais pas assez pour détecter les changements ou modifications.