CLR4 보안 - yield 구문 내에서 SecurityCritical 메서드 사용 불가
부분 신뢰 유형의 .NET 4.0 응용 프로그램에서 SecurityCritical 메서드를 yield 구문과 함께 사용시 System.MethodAccessException 예외가 발생할 수 있습니다.
상황을 한번 재현해 볼까요? ^^
새로 예제를 만들 필요없이 다음의 글에 공개된 Net40Sec2.zip 예제에서 시작해 보겠습니다.
.NET CLR4 보안 모델 - 3. CLR4 보안 모델에서의 APTCA 역할
; https://www.sysnet.pe.kr/2/0/1682
일단 다운로드 받은 파일을 실행시켜서 오류없이 잘 실행되는 것을 확인합니다.
그리고 나서, HostService 프로젝트의 SecurityService 클래스에 다음과 같이 문제 재현을 위한 작위적인 메서드를 하나 추가하겠습니다.
using System.Security;
using System.IO;
using System.Collections.Generic;
[assembly: AllowPartiallyTrustedCallers]
public class SecurityService
{
// ... [생략: GetFileHandle] ...
[SecuritySafeCritical]
public static IEnumerable<long> GetList(FileStream fs)
{
yield return fs.Handle.ToInt64();
}
}
코드에 대한 유용성은 무시하시고, 그냥 GetList 메서드가 yield return을 한다는 사실만 주목하시면 됩니다. 그다음 이 메서드를 UntrustedLib 프로젝트의 PlugInExtension 타입에서 (SecurityTransparent 권한의) AccessCritical 메서드에서 호출합니다.
using System;
using System.IO;
using System.Security;
[assembly: SecurityTransparent]
namespace UntrustedLib
{
public class PlugInExtension
{
public void NormalMethod()
{
Console.WriteLine("NormalMethod");
}
public void AccessCritical()
{
try
{
using (FileStream file = new FileStream(@".\test.dat", FileMode.Create, FileAccess.ReadWrite, FileShare.ReadWrite))
{
foreach (var item in SecurityService.GetList(file))
{
Console.WriteLine(item);
}
long fileHandle = SecurityService.GetFileHandle(file);
Console.WriteLine(fileHandle.ToString());
}
}
catch (Exception e)
{
Console.WriteLine(e.ToString());
}
}
}
}
이렇게 변경하고 실행하면 다음과 같은 예외를 재현할 수 있습니다.
System.MethodAccessException: Attempt by security transparent method 'SecurityService+<GetList>d__0.MoveNext()' to access security critical method 'System.IO.FileStream.get_Handle()' failed.
Assembly 'HostService, Version=1.0.0.0, Culture=neutral, PublicKeyToken=2a9ed378705e40fd' is marked with the AllowPartiallyTrustedCallersAttribute, and uses the level 2 security transparency model. Level 2 transparency causes all methods in AllowPartiallyTrustedCallers assemblies to become security transparent by default, which may be the cause of this exception.
at SecurityService.<GetList>d__0.MoveNext() in d:\...\HostService\Class1.cs:line 20
at UntrustedLib.PlugInExtension.AccessCritical() in d:\...\UntrustedLib\PlugInExtension.cs:line 22
왜 이런 예외가 발생할까요? 분명히 SecurityService.GetList 메서드에는 SecuritySafeCritical 특성을 부여했는데 그게 적용되지 않은 것입니다.
왜냐하면, yield return의 경우 C# 컴파일러에 의해 내부적으로 IEnumerable을 위한 타입이 정의되기 때문입니다. 이는 .NET Reflector를 통해 확인하면 쉽게 알 수 있습니다.
[CompilerGenerated]
private sealed class <GetList>d__0 : IEnumerable<long>, IEnumerable, IEnumerator<long>, IEnumerator, IDisposable
{
// Fields
private int <>1__state;
private long <>2__current;
public FileStream <>3__fs;
private int <>l__initialThreadId;
public FileStream fs;
// Methods
[DebuggerHidden]
public <GetList>d__0(int <>1__state);
private bool MoveNext();
[DebuggerHidden]
IEnumerator<long> IEnumerable<long>.GetEnumerator();
[DebuggerHidden]
IEnumerator IEnumerable.GetEnumerator();
[DebuggerHidden]
void IEnumerator.Reset();
void IDisposable.Dispose();
// Properties
long IEnumerator<long>.Current { [DebuggerHidden] get; }
object IEnumerator.Current { [DebuggerHidden] get; }
}
보시는 바와 같이 여기에 정의된 MoveNext는 SecuritySafeCritical 특성이 없기 때문에 SecurityTransparent로 평가되고, 그로 인해 보안 오류가 발생하는 것입니다.
어쩔 수 없습니다. 이 상황을 해결하려면 원론으로 돌아가서 IEnumerable을 직접 정의해야 합니다. 따라서 예제의 경우 다음과 같이 구현을 바꿉니다.
public static IEnumerable<long> GetList(FileStream fs)
{
return new FileHandleEnumrable(fs);
}
private sealed class FileHandleEnumrable : IEnumerable<long>, IEnumerable, IEnumerator<long>, IEnumerator, IDisposable
{
// Fields
public FileStream _fs;
public bool _first;
public FileHandleEnumrable(FileStream fs)
{
_fs = fs;
_first = true;
}
private bool MoveNext()
{
bool result = _first;
_first = false;
return result;
}
IEnumerator<long> IEnumerable<long>.GetEnumerator()
{
return this;
}
IEnumerator IEnumerable.GetEnumerator()
{
return this;
}
bool IEnumerator.MoveNext()
{
return MoveNext();
}
void IEnumerator.Reset() { _first = true; }
// Properties
long IEnumerator<long>.Current
{
[SecuritySafeCritical]
get { return _fs.Handle.ToInt64(); }
}
object IEnumerator.Current
{
[SecuritySafeCritical]
get { return _fs.Handle.ToInt64(); }
}
public void Dispose() { }
}
보시는 바와 같이 원래의 GetList 메서드는 보안 속성을 제거해도 무방하고, 대신 내부적으로 IEnumerable/IEnumerator를 직접 구현한 클래스의 Current 속성에 직접 SecuritySafeCritical을 지정하는 것으로 해결했습니다.
물론, 이렇게 변경하고 실행하면 정상적으로 예외없이 동작합니다.
(
첨부 파일은 위의 예제 코드를 포함하고 있습니다.)
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]