Запуск .NET-процесса в AppDomain

Question

Название моего вопроса может уже дать тот факт, что я не уверен в том, чего хочу, поскольку это может и не иметь смысла.

Для проекта я хочу иметь возможность запускать исполняемые файлы в моем приложении, одновременно перенаправляя их стандартные и входящие так, чтобы мое приложение могло связываться с ними через эти потоки.

В то же время я не хочу, чтобы эти исполняемые файлы выполняли определенные действия, такие как использование сети, или чтение/запись за пределами их собственного рабочего каталога (в основном я хочу разрешить им писать и читать из стандартный вход и выход).

Я читал в разных местах в Интернете, что эти разрешения могут быть установлены с помощью PermissionStates при создании AppDomain, в котором вы можете выполнить исполняемые файлы. Тем не менее, я не нашел способ связаться с исполняемыми файлами через их стандарт в и из, что очень важно. Однако я могу это сделать при запуске нового процесса (Process.Start()), хотя тогда я не могу установить границы того, что разрешено исполняемому файлу.

Моя интуиция подсказывает мне, что я должен каким-то образом выполнить процесс внутри AppDomain, так что процесс «запускает» в домене, хотя я не вижу способа сделать это прямо.

Мой коллега выполнил это, создав прокси-приложение, которое в основном является другим исполняемым файлом, в котором создается AppDomain, в котором выполняется фактический исполняемый файл. Затем прокси-приложение запускается процессом в основном приложении. Я думаю, что это крутая идея, хотя я чувствую, что мне не нужен этот шаг.

Я могу добавить код, содержащий то, что я сделал до сих пор, создание процесса и приложения, хотя вопрос довольно длинный. Я добавлю, если вы захотите.

Answer 1

Приложение «прокси» звучит как очень разумный подход (учитывая, что вы только хотите запускать сборки .NET).

Вы получаете изоляцию различных процессов, которые позволяют вам связываться через stdin/stdout и придает дополнительную надежность, что ненадежный исполняемый файл не может разбивать ваше основное приложение (что можно, если оно было запущено в AppDomain в процессе вашего основного приложения .

применение прокси затем настроить ограниченный AppDomain и выполнить песочницу код, подобный подход, описанный здесь:

How to: Run Partially Trusted Code in a Sandbox

Кроме того, вы можете использовать mechansims уровня операционной системы, чтобы уменьшить поверхность атаки процесса. Это может быть достигнуто, например, путем запуска прокси-процесса с наименьшей целостностью, которая удаляет доступ на запись к большинству ресурсов (например, разрешить запись файлов только в AppData \ LocalLow). См., Например, here.

Конечно, вам нужно подумать, достаточно ли этого уровня песочницы. Песочница в целом сложна, и уровень изоляции всегда будет в определенной степени.