Discussion :

[Babyneedle]

Bonjour,

Une équipe de développement voudrait pouvoir authoriser l'usage de leur DLL par assembly name. Leur design initial fait que la DLL va chercher le nom de l'assembly qui l'intègre et appelle une base de données derrière un firewall afin de valider l'existence de l'assembly dans une table de permission.

J'ai contesté la pertinence du besoin puisque la DLL ne sera pas publiée publiquement et uniquement à même la compagnie mais depuis une acquisition en Chine, ils deviennent paranoiaques. Et en plus, que fait-on si la DB ne répond plus parce à cause d'un backup ou autre opération accaparante? Mais bon.

Disons que c'est justifié. J'ai peine à trouver une façon de faire cela.

Je sais 1. comment signer une DLL pour assurer que le code source n'a pas été modifié et utiliser un certificat d'un tiers comme Verisign et 2. comment appliquer un controle de licence de développeur (DLK) afin d'authoriser l'intégration par poste de travail.

Existe-t-il un mécanisme similaire qui permettrait de générer un certificat par assembly name qui serait validé par Visual Studio ou la DLL à la compilation (ou au déploiement)? Et peut-on facilement créer un service de validation de certificat à l'interne plutôt que de faire affaire avec une tiers partie?

Merci,

Pat

[DonQuiche]

Bonjour.

Dotnet inclut un mécanisme natif de signature des assemblées basé sur une paire de clés privée/publique. Il est ainsi possible de charger une assemblée via Assembly.Load et compagnie en spécifiant un nom qualifié, c'est à dire une chaîne de caractères contenant le nom, la version et un hash de la clé publique.

Au chargement le CLR vérifiera que tout correspond, c'est à dire que l'assemblée correspond au hash spécifié et qu'elle a bien été signée par le détenteur de la clé privée correspondant à la clé publique.

Enfin la signature de l'assemblée ne nécessite pas les sources.

[Babyneedle]

Bonjour.

Dotnet inclut un mécanisme natif de signature des assemblées basé sur une paire de clés privée/publique. Il est ainsi possible de charger une assemblée via Assembly.Load et compagnie en spécifiant un nom qualifié, c'est à dire une chaîne de caractères contenant le nom, la version et un hash de la clé publique.

Au chargement le CLR vérifiera que tout correspond, c'est à dire que l'assemblée correspond au hash spécifié et qu'elle a bien été signée par le détenteur de la clé privée correspondant à la clé publique.

Enfin la signature de l'assemblée ne nécessite pas les sources.

Aurais-tu un lien vers un tutoriel ou de la documentation? Je n'arrive pas à trouver un mot clé pour trouver des résultats pertinents dans Google. Merci.

[DonQuiche]

Je t'invite à chercher "assembly signing" et "assembly strong name", éventuellement accompagnés de "dotnet" ou "c#". Tu peux aussi jeter un coup d'oeil à la doc de Assembly.Load et compères sur msdn.

[Babyneedle]

Je t'invite à chercher "assembly signing" et "assembly strong name", éventuellement accompagnés de "dotnet" ou "c#". Tu peux aussi jeter un coup d'oeil à la doc de Assembly.Load et compères sur msdn.

OK, j'ai déjà trouvé le strong name signing et ça ne répond pas au 'besoin'.

En signant la DLL, il n'existe qu'une seule clé publique qui pourrait être partagée par multiple intégrateurs. Ce qu'ils veulent, c'est authoriser la DLL pour chaque intégration indépendante.

Si quelqu'un copie une solution de site web contenant la DLL et renomme simplement l'assembly, l'exécution devrait être bloquée.

Personnellement, je ne trouve rien qui puisse faire ça.