我认为浏览器外的 SilverLight 很有可能成为安全漏洞，这样的看法正确吗？

Question

使用 silverlight 创建 OOB 非常容易，我认为这是一件好事。 然而，创建需要更高权限的应用程序也很容易，只需单击一下，用户就可以“允许”该程序在其计算机上执行所有操作。

我说得对吗？ 我是否正确地认为我们回到了 IE 6 的时代，那时执行有害的 activex 是如此容易？

“桌面”.Net 框架使用代码访问安全来减少威胁范围。 SL也有吗？

Answer 1

Silverlight 实施了许多缓解措施，使这种情况没有您想象的那么可怕。

1. 默认情况下，OOB 应用程序是沙盒的 - 因此它们中的大多数应用程序不应拥有比浏览器中的应用程序更多的权限。

2. OOB 应用程序（在 Windows 上）在启动时有意限制其安全令牌，因此即使以管理员身份启动，它们也会剥夺自己的管理权限并重新启动（sllauncher.exe 会执行此操作，应用程序对此没有发言权） .

3. 有一个注册表项可以在 HKLM 级别设置，允许企业网络管理员禁止所有 OOB 应用程序的安装，或仅禁止安装（或运行）受信任的应用程序。因此，通过一点组策略，用户甚至无法运行它们（如果他们愿意）- 与 EXE 相比，他们肯定可以在自己的安全上下文下运行。

Answer 2

Silverlight OOB 不是 Web 应用程序的替代品，而是桌面应用程序的替代品。
而且SL确实使用了与Fx4相同的CAS（比Fx 35及之前的版本要少一点）。

因此，它肯定不比其他替代方案更差，并且有可能使其更安全。

Answer 3

Windows 上的受信任 Silverlight OOB 应用程序应被视为与 EXE 一样危险。这是因为几乎不需要 COM 互操作的帮助，它就可以将 EXE 文件下载到用户的计算机上并执行它。

查看 Silverlight 安全白皮书以获取一些额外信息：http://download.microsoft.com/download/A/1/A/A1A80A28-907C-4C6A-8036-782E3792A408/Silverlight%20Security%20Overview.docx