访问级别和修饰符（私有、密封等）在 C# 中是否具有安全目的？

Question

我发现您可以使用反射来操作私有和内部成员。 我还看到它说 “密封”类比非密封类更安全< /a>.

修饰符“public、protected、internal、private、abstract、sealed、readonly”是否只是关于设计和 API 使用的君子协议，只要您有权访问反射就可以打破？ 如果黑客已经在运行调用您的 API 的代码，那么游戏就已经失败了，对吧？

下面的类比其他类更安全吗？

//private class
sealed class User
{
    private string _secret = "shazam";
    public readonly decimal YourSalary;
    public string YourOffice{get;};
    private DoPrivilegedAction()
    {
    }
}

Answer 1

首先，回答您的问题：安全系统旨在保护好用户免受坏代码的侵害； 它显然不是为了保护良好的代码免受不良用户的侵害而设计的。 您的访问限制可以减轻部分受信任的恶意代码对用户的攻击。 它们不会减轻来自敌意用户的对代码的攻击。 如果威胁是敌对用户获取您的代码，那么您就有大问题了。 安全系统根本无法减轻这种威胁。

其次，解决之前的一些答案：理解反射和安全之间的完整关系需要仔细关注细节并充分理解 CAS 系统的细节。 之前发布的答案指出，由于反射，安全性和访问之间没有联系，这是误导和错误的。

是的，反射允许您覆盖“可见性”限制（有时）。 这并不意味着访问和安全之间没有联系。 连接之处在于，使用反射来覆盖访问限制的权利以多种方式与 CAS 系统紧密相连。

首先，为了任意执行此操作，CAS 系统必须向代码授予私有反射权限。 这通常只授予完全可信的代码，毕竟它已经可以做任何事情了。

其次，在新的 .NET 安全模型中，假设 CAS 系统授予程序集 A 的授权集是程序集 B 的授权集的超集。 在这种情况下，程序集 A 中的代码可以使用反射来观察 B 的内部结构。

第三，当您将动态生成的代码放入其中时，事情变得非常复杂。 解释“跳过可见性”与“受限跳过可见性”的工作原理，以及它们如何在运行时吐出代码的情况下改变反射、访问控制和安全系统之间的交互，将花费我更多的时间和空间。有可用的。 如果您需要详细信息，请参阅 Shawn Farkas 的博客。

Answer 2

访问修饰符与安全性无关，而是与良好的设计有关。 类和方法的适当访问级别驱动/强制执行良好的设计原则。 理想情况下，只有当使用反射的便利性比违反（如果有的话）最佳设计实践的成本更多时才应使用反射。 密封类的目的只是为了防止开发人员扩展您的类并“破坏”它的功能。 关于密封类的实用性有不同的观点，但由于我进行 TDD 并且很难模拟密封类，所以我尽可能避免它。

如果您想要安全，则需要遵循编码实践，以防止坏人进入和/或保护机密信息免遭检查，即使发生入侵也是如此。 入侵防御、入侵检测、加密、审计等是您需要使用的一些工具来保护您的应用程序。 在我看来，设置限制性访问修饰符和密封类与应用程序安全性关系不大。

Answer 3

不，这些与安全无关。 反思打破了这一切。

Answer 4

关于反射和安全性的评论 - 考虑到 mscorlib.dll 中有许多内部类型 + 成员调用本机 Windows 函数，如果恶意应用程序使用反射调用它们，则可能会导致不良后果。 这不一定是问题，因为运行时通常不会向不受信任的应用程序授予这些权限。 这（以及一些声明性安全检查）是 mscorlib.dll 二进制文件如何将其类型公开给各种受信任和不受信任的代码，但不受信任的代码无法绕过公共 API。

这实际上只是触及了反射+安全问题的表面，但希望它有足够的信息来引导您走上正确的道路。

Answer 5

我总是尝试将事情限制在所需的最低限度。 正如 tvanfosson 所说，这实际上更多的是设计而不是安全。

例如，我将公开一个接口，将我的实现公开，然后公开一个工厂类/方法来获取实现。 这几乎迫使消费者始终将其键入为接口，而不是实现。

话虽这么说，开发人员可以使用反射来实际实例化实现类型的新实例。 没有什么可以阻止他/她。 然而，我可以放心，我知道我至少让违反设计变得有些困难。