ActiveX控件的安全初始化和脚本操作 和 数字签名SIGN
摘要:数字签名SIGN保证控件在下载时候的安全性。如果你的代码已经经过数字签名,即使用户IE的安全设置很高也能下载,安装并登记。但是在页面上初始化,或者用脚本运行这个控件,为了保证安全性,还需要进行MARK。
数字签名SIGN
曹晓峰
摘要:数字签名保证控件的安全性。数字签名使用证书。证书一般有个人证书和授信公司证书。个人证书是对个人的信任,由个人承担责任,控件每次下载时需要进行确认。公司证书是由第三方公司发布的,保证控件的安全性,公司证书需要付费。Windows授信的证书公司有VeriSign,SecureSign等等。由这些公司证书签名的控件在下载的时候不需要确认。
一.工具
工具包括以下几个软件:
makecert.exe 制作cer格式的证书,即X.509证书,同时可以创建私钥(防止抵赖)
cert2spc.exe 将cer格式证书转换成spc格式证书,即PKCS #7证书
signcode.exe 将证书签署到ocx上去
chktrust.exe 检查签署证书后的ocx是否正确
certmgr.exe,是管理证书用的,可以从这里面导出root.cer来,不过没有私钥用不上。
二.步骤
下面是具体的步骤:
1、创建一个自己的证书文件:
makecert /sv "Record.PVK" /n "CN=SinoWave" dream.cer
这里,Record.PVK表示新创建的私人密钥保存文件名
SinoWave是你想显示的公司名
dream.cer是你创建最后的证书文件名
这些根据你自己的要求填写,最后得到Record.PVK和dream.cer两个文件。其中,运行过程中需要输入私人密钥的保护密码(sw),一定要输入一致,不要出错。
2、转换cer格式为spc格式(可以省略),得到dream.spc文件。
cert2spc dream.cer dream.spc
3、用VS6工具中的 cabarc生成internet分发的CAB包,
cabarc.exe N DataTransfer.cab DataTransfer.ocx
4、同时制作分发代码(.htm,其中包含使IE可以自动下载安装包的代码)。
现在得到了2个文件DataTransfer.CAB和DataTransfer.htm。
.htm中包含类似如下的代码:
<OBJECT ID=" DataTransfer " CLASSID="CLSID: CA466D54-0684-49D2-B0C3-DD7E09EA76D3" CODEBASE="http://192.9.200.8/DataTransfer.CAB#version=1,0,0,0"></OBJECT>
注意:一定要写上"http:// 192.9.200.8/",真正发行时最好使用url。
5、给CAB文件签名
运行signcode,命令行的我没有试验通过,我是通过界面实现的。signcode运行后会出现数字签名向导,首先选择DataTransfer.CAB,下一步后会出现签名选项,一种是典型,一种是自定义。选择自定义,这样才能从文件选择证书,选择前面制作的dream.spc,再下一步是选择私钥文件,选择Record.PVK,输入私人密钥的保护密码,选择散列算法,一般用md5就可以了,下一步是选择其他证书,直接下一步,填写一下这个控件的声明,用户用ie浏览的时候,会弹出证书说明,再下一步是加盖时间戳,例如http://timestamp.sheca.com/timestamp
6、用chktrust检查是否正确
chktrust -v DataTransfer.CAB
7、将签名后的DataTransfer.CAB和DataTransfer.htm复制到IIS的某个目录下。并在IE中打开DataTransfer.htm文件进行测试。
ActiveX控件的安全初始化和脚本操作MARK
曹晓峰
简介
很多微软的ActiveX控件(本地/远程)都需要使用持久性数据进行初始化,而且它们大多数都是可以通过脚本进行操作的 (支持一个方法,事件和属性的集合提供脚本语言操作)。初始化(使用持久性数据)和脚本操作都需要一个确定的安全性机制保证其安全性不被违背。
初始化安全性
当一个控件初始化时,可以从一个 IPersist* 接口获得数据 (来自一个本地/远端的URL)提供初始化状态。这是一个潜在的安全隐患,因为数据可能来自一个不可信的数据源。不提供安全性保证的控件将无视数据源的安全性。
有两种方法可以检测控件的初始化安全性。第一种使用组件分组管理器(Component Categories Manager)创建一个正确的入口到系统注册表。IE检测注册表之后才调用你的控件决定是否这些入口存在。第二种方法实现一个名称为IObjectSafe的接口到你的控件。如果IE发现你的控件支持IObjectSafety,它调用 IObjectSafety::SetInterfaceSafetyOptions 方法然后才载入你的控件。
注意,第一种方法是基于组件的安全性,也就是如果设置了注册表,那么整个组件的所有的接口都被标注为安全的;而第二种方法(实现IObjectSafety)是基于接口的,也就是它的作用范围是接口,必须一个接口一个接口地标注。第二种方法的运行性能要优于第一种。在保证安全的情况下,两种方法同时使用更好。
脚本操作安全性
代码签字可以保证用户其代码的可信度。但是运行一个 ActiveX 控件可以被脚本访问将带来几个新的安全性问题。即使控件被认为是可靠的,如果使用不可信脚本代码访问也不能保证其安全性。比如,微软的 Word 被认为是一个安全的程序,但是一个宏可以使用自动化模型的脚本删除用户计算机上的文件,载入宏病毒或者蠕虫病毒。
有两种方法提供你的控件的脚本操作安全性保证。第一种是使用组件分组管理器 (Component Categories Manager) ——在组件导入以后在注册表上面创建正确的入口。IE在脚本操作之前检查注册表确认安全性。第二种是实现一个 IObjectSafety 接口到你的控件。如果IE发现你的控件支持 IObjectSafety,就在导入控件之前调用 IObjectSafety::SetInterfaceSafetyOptions 方法来确保安全性脚本操作。
注意,第一种方法是基于组件的安全性,也就是如果设置了注册表,那么整个组件的所有的接口都被标注为安全的;而第二种方法是基于接口的,也就是它的作用范围是接口,必须一个接口一个接口地标注。第二种方法的运行性能要优于第一种。在保证安全的情况下,两种方法同时使用更好。
方法一:IObjectSafety方法:
MFC:实现接口IObjectSafety
ATL:继承接口IObjectSafetyImpl<CPolyCtl, INTERFACESAFE_FOR_UNTRUSTED_CALLER| INTERFACESAFE_FOR_UNTRUSTED_DATA >
具体方法:
一. MFC
1. 在控件类的头文件里
(1)加入文件#include <objsafe.h>
(2)在类的定义里,声明接口映射表,并加入接口定义(以嵌套类的形式)
DECLARE_INTERFACE_MAP()
BEGIN_INTERFACE_PART(ObjSafe, IObjectSafety)
STDMETHOD_(HRESULT, GetInterfaceSafetyOptions) (
/* [in] */ REFIID riid,
/* [out] */ DWORD __RPC_FAR *pdwSupportedOptions,
/* [out] */ DWORD __RPC_FAR *pdwEnabledOptions
);
STDMETHOD_(HRESULT, SetInterfaceSafetyOptions) (
/* [in] */ REFIID riid,
/* [in] */ DWORD dwOptionSetMask,
/* [in] */ DWORD dwEnabledOptions
);
END_INTERFACE_PART(ObjSafe);
2. 在控件类的CPP文件里
(1)建立接口映射表
BEGIN_INTERFACE_MAP( CMyCtrl, COleControl )
INTERFACE_PART(CMyCtrl, IID_IObjectSafety, ObjSafe)
END_INTERFACE_MAP()
(2)加入接口类的实现
ULONG FAR EXPORT CMyCtrl::XObjSafe::AddRef()
{
METHOD_PROLOGUE(CMyCtrl, ObjSafe)
return pThis->ExternalAddRef();
}
ULONG FAR EXPORT CMyCtrl::XObjSafe::Release()
{
METHOD_PROLOGUE(CMyCtrl, ObjSafe)
return pThis->ExternalRelease();
}
HRESULT FAR EXPORT CMyCtrl::XObjSafe::QueryInterface(
REFIID iid, void FAR* FAR* ppvObj)
{
METHOD_PROLOGUE(CMyCtrl, ObjSafe)
return (HRESULT)pThis->ExternalQueryInterface(&iid, ppvObj);
}
const DWORD dwSupportedBits =
INTERFACESAFE_FOR_UNTRUSTED_CALLER |
INTERFACESAFE_FOR_UNTRUSTED_DATA;
const DWORD dwNotSupportedBits = ~ dwSupportedBits;
/////////////////////////////////////////////////////////////////////////////
// CStopLiteCtrl::XObjSafe::GetInterfaceSafetyOptions
// Allows container to query what interfaces are safe for what. We're
// optimizing significantly by ignoring which interface the caller is
// asking for.
HRESULT STDMETHODCALLTYPE
CMyCtrl::XObjSafe::GetInterfaceSafetyOptions(
/* [in] */ REFIID riid,
/* [out] */ DWORD __RPC_FAR *pdwSupportedOptions,
/* [out] */ DWORD __RPC_FAR *pdwEnabledOptions)
{
METHOD_PROLOGUE(CMyCtrl, ObjSafe)
HRESULT retval = ResultFromScode(S_OK);
// does interface exist?
IUnknown FAR* punkInterface;
retval = pThis->ExternalQueryInterface(&riid,
(void * *)&punkInterface);
if (retval != E_NOINTERFACE) { // interface exists
punkInterface->Release(); // release it--just checking!
}
// we support both kinds of safety and have always both set,
// regardless of interface
*pdwSupportedOptions = *pdwEnabledOptions = dwSupportedBits;
return retval; // E_NOINTERFACE if QI failed
}
/////////////////////////////////////////////////////////////////////////////
// CStopLiteCtrl::XObjSafe::SetInterfaceSafetyOptions
// Since we're always safe, this is a no-brainer--but we do check to make
// sure the interface requested exists and that the options we're asked to
// set exist and are set on (we don't support unsafe mode).
HRESULT STDMETHODCALLTYPE
CMyCtrl::XObjSafe::SetInterfaceSafetyOptions(
/* [in] */ REFIID riid,
/* [in] */ DWORD dwOptionSetMask,
/* [in] */ DWORD dwEnabledOptions)
{
METHOD_PROLOGUE(CMyCtrl, ObjSafe)
// does interface exist?
IUnknown FAR* punkInterface;
pThis->ExternalQueryInterface(&riid, (void * *)&punkInterface);
if (punkInterface) { // interface exists
punkInterface->Release(); // release it--just checking!
}
else { // interface doesn't exist
return ResultFromScode(E_NOINTERFACE);
}
// can't set bits we don't support
if (dwOptionSetMask & dwNotSupportedBits) {
return ResultFromScode(E_FAIL);
}
// can't set bits we do support to zero
dwEnabledOptions &= dwSupportedBits;
// (we already know there are no extra bits in mask )
if ((dwOptionSetMask & dwEnabledOptions) !=
dwOptionSetMask) {
return ResultFromScode(E_FAIL);
}
// don't need to change anything since we're always safe
return ResultFromScode(S_OK);
}
二. ATL
在控件类加一个继承接口即可
public IObjectSafetyImpl<CAtlCtrl, INTERFACESAFE_FOR_UNTRUSTED_CALLER
| INTERFACESAFE_FOR_UNTRUSTED_DATA>
方法二:使用组件分组管理器
前面提到,IE通过检测注册表决定一个控件是否是可以安全性初始化和脚本操作的。IE通过调用 ICatInformation::IsClassOfCategories 方法决定是否控件支持给出的安全性分组。
如果一个控件使用组件分组管理器将自己注册为安全的,该控件的注册表入口就包含一个实现的分组关键字,该关键字含有一个或者两个子键。一个子键设置控件支持安全性初始化,另一个设置支持安全性脚本操作。安全性初始化子键依赖于 CATID_SafeForInitializing; 安全性脚本操作子键依赖于 CATID_SafeForScripting。(其他组件分组子键定义在 Comcat.h 文件,而安全性初始化和脚本操作子键定义在 Objsafe.h 文件。)
下列演示显示了一个注册表入口(Tabular Data Control),该ActiveX控件同IE绑定支持创建数据驱动的网页。因为控件是可以安全性脚本操作和初始化的,注册表中将其标记为安全性脚本操作
(7DD95801-9882-11CF-9FA9-00AA006C42C4) 和安全性初始化
(7DD95802-9882-11CF-9FA9-00AA006C42C4)。
注意,这两个GUID值是固定的。
将一个控件注册为安全的
系统注册表含有一个组件分组键来罗列每一个安装在系统中的组件的功能性分组。下面演示了一个组件分组键。假设 CATID_SafeForScripting (7DD95801-9882-11CF-9FA9-00AA006C42C4) 和 CATID_SafeForInitializing (7DD95802-9882-11CF-9FA9-00AA006C42C4) 在列表之中。
要创建一个组件分组的子键,你的控件必须包含以下步骤:
1.创建一个组件分组管理器(Component Categories Manager)实例来接收 ICatRegister 接口的地址。
2.设置正确的 CATEGORYINFO 结构分量。
3.调用 ICatRegister::RegisterCategories 方法,将初始化的 CATEGORYINFO 结构变量传递给这个方法。
下面的例子演示如何使用这些步骤来完成一个名称为 CreateComponentCategory全局函数,生成组件分组。
#include "comcat.h"
HRESULT CreateComponentCategory(CATID catid,WCHAR* catDescription)
{
ICatRegister* pcr = NULL ;
HRESULT hr = S_OK ;
//创建一个组件管理器实例(进程内)
hr = CoCreateInstance(CLSID_StdComponentCategoriesMgr,
NULL,CLSCTX_INPROC_SERVER,IID_ICatRegister,(void**)&pcr);
if (FAILED(hr))
return hr;
// 确信 HKCR\Component Categories\{..catid...} 键已经被注册
CATEGORYINFO catinfo;
catinfo.catid = catid;
catinfo.lcid = 0x0409 ; // 英语
// 确信提供的描述在127个字符以内
int len = wcslen(catDescription);
if (len>127)
len = 127;
wcsncpy(catinfo.szDescription,catDescription,len);
// 确信描述使用'\0'结束
catinfo.szDescription[len] = '\0';
hr = pcr->RegisterCategories(1,&catinfo);
pcr->Release();
return hr;
}
当一个子键被创建到需要的分组,控件应该注册到该分组,需要以下步骤:
1.创建一个组件分组管理器实例接收 ICatRegister 接口地址。
2.调用 ICatRegister::RegisterClassImplCategories 方法,将控件的 CLSID 和需要的 category ID 作为参数传递给函数。
下面的例子演示如何将一个名称为 RegisterCLSIDInCategory 加入实例控件。
#include "comcat.h"
HRESULT RegisterCLSIDInCategory(REFCLSID clsid,CATID catid)
{
// 注册你的组件分组信息
ICatRegister* pcr = NULL ;
HRESULT hr = S_OK ;
hr = CoCreateInstance(CLSID_StdComponentCategoriesMgr,
NULL,CLSCTX_INPROC_SERVER,IID_ICatRegister,(void**)&pcr);
if (SUCCEEDED(hr))
{
// 注册已实现的类到分组
CATID rgcatid[1] ;
rgcatid[0] = catid;
hr = pcr->RegisterClassImplCategories(clsid,1,rgcatid);
}
if (pcr != NULL)
pcr->Release();
return hr;
}
一个控件应该在调用 DLLRegisterServer 函数是注册安全性初始化和脚本操作。(DLLRegisterServer 由组件对象模型 [COM] 调用创建注册表入口) 在实例组件中 DLLRegisterServer 函数调用了 CreateComponentCategory 和 RegisterCLSIDInCategory 函数 (它们保证控件的安全性初始化和脚本操作)。下面的就是 DLLRegisterServer 的实现。
STDAPI DllRegisterServer(void)
{
HRESULT hr; // return for safety functions
AFX_MANAGE_STATE(_afxModuleAddrThis);
if (!AfxOleRegisterTypeLib(AfxGetInstanceHandle(),_tlid))
return ResultFromScode(SELFREG_E_TYPELIB);
if (!COleObjectFactoryEx::UpdateRegistryAll(TRUE))
return ResultFromScode(SELFREG_E_CLASS);
RegisterTwo(CLSID_SafeItem);
return NOERROR;
}
HRESULT RegisterTwo(REFCLSID clsid)
{
// 注册控件是安全性初始化的
/////////////////////////////////////////////////
HRESULT hr;
hr = CreateComponentCategory(CATID_SafeForInitializing, L"Controls safely initializable from persistent data!");
if (FAILED(hr))
return hr;
hr = RegisterCLSIDInCategory(clsid, CATID_SafeForInitializing);
if (FAILED(hr))
return hr;
// 注册控件是安全性脚本操作的
hr = CreateComponentCategory(CATID_SafeForScripting, L"Controls safely scriptable!");
if (FAILED(hr))
return hr;
hr = RegisterCLSIDInCategory(clsid, CATID_SafeForScripting);
if (FAILED(hr))
return hr;
return S_OK;
}
作为一个创建所有安全性分组入口到注册表的控件,它也应该负责卸载所有的分组信息。COM 调用控件的 DLLUnRegisterServer 函数删除相应的注册表入口然后卸载该控件。
要卸载一个安全性初始化和脚本操作控件,控件应该完成以下任务:
1 创建一个组件分类管理器实例接收 ICatRegister 接口地址。
2 调用 ICatRegister::UnRegisterClassImplCategories 方法,将控件的 CLSID 和必要的 category ID 作为参数传递
下面的例子演示如何完成一个 UnRegisterCLSIDInCategory 。
HRESULT UnRegisterCLSIDInCategory(REFCLSID clsid,CATID catid)
{
ICatRegister* pcr = NULL ;
HRESULT hr = S_OK ;
hr = CoCreateInstance(CLSID_StdComponentCategoriesMgr,
NULL,CLSCTX_INPROC_SERVER,IID_ICatRegister,(void**)&pcr);
if (SUCCEEDED(hr))
{
// 从分组卸载组件
CATID rgcatid[1] ;
rgcatid[0] = catid;
hr = pcr->UnRegisterClassImplCategories(clsid,1,rgcatid);
}
if (pcr != NULL)
pcr->Release();
return hr;
}
我们前面提过,一个控件负责删除安全性初始化和脚本操作入口,下面演示如何完成这两个步骤:
STDAPI DllUnregisterServer(void)
{
AFX_MANAGE_STATE(_afxModuleAddrThis);
if (!AfxOleUnregisterTypeLib(_tlid, _wVerMajor, _wVerMinor))
return ResultFromScode(SELFREG_E_TYPELIB);
if (!COleObjectFactoryEx::UpdateRegistryAll(FALSE))
return ResultFromScode(SELFREG_E_CLASS);
UnRegisterTwo(CLSID_SafeItem);
return NOERROR;
}
HRESULT UnRegisterCLSIDInCategory(REFCLSID clsid,CATID catid)
{
ICatRegister* pcr = NULL ;
HRESULT hr = S_OK ;
hr = CoCreateInstance(CLSID_StdComponentCategoriesMgr,
NULL,CLSCTX_INPROC_SERVER,IID_ICatRegister,(void**)&pcr);
if (SUCCEEDED(hr))
{
// 从分组卸载组件
CATID rgcatid[1] ;
rgcatid[0] = catid;
hr = pcr->UnRegisterClassImplCategories(clsid, 1, rgcatid);
}
if (pcr != NULL)
pcr->Release();
return hr;
}
附件, CXFMARK.h
以上函数形成一个文件,
#include "comcat.h"
const GUID CATID_SafeForInitializing =
{0x7DD95802,0x9882,0x11CF,{0x9F,0xA9,0x00,0xAA,0x00,0x6C,0x42,0xC4}};
const GUID CATID_SafeForScripting =
{0x7DD95801,0x9882,0x11CF,{0x9F,0xA9,0x00,0xAA,0x00,0x6C,0x42,0xC4}};
HRESULT CreateComponentCategory(CATID catid,WCHAR* catDescription)
{
ICatRegister* pcr = NULL ;
HRESULT hr = S_OK;
//创建一个组件管理器实例(进程内)
hr = CoCreateInstance(CLSID_StdComponentCategoriesMgr,
NULL,CLSCTX_INPROC_SERVER,IID_ICatRegister,(void**)&pcr);
if (FAILED(hr))
return hr;
// 确信 HKCR\Component Categories\{..catid...} 键已经被注册
CATEGORYINFO catinfo;
catinfo.catid = catid;
catinfo.lcid = 0x0409 ; // 英语
// 确信提供的描述在127个字符以内
int len = wcslen(catDescription);
if (len>127)
len = 127;
wcsncpy(catinfo.szDescription,catDescription,len);
// 确信描述使用'\0'结束
catinfo.szDescription[len] = '\0';
hr = pcr->RegisterCategories(1,&catinfo);
pcr->Release();
return hr;
}
HRESULT RegisterCLSIDInCategory(REFCLSID clsid, CATID catid)
{
// 注册你的组件分组信息
ICatRegister* pcr = NULL ;
HRESULT hr = S_OK ;
hr = CoCreateInstance(CLSID_StdComponentCategoriesMgr,
NULL,CLSCTX_INPROC_SERVER,IID_ICatRegister,(void**)&pcr);
if (SUCCEEDED(hr))
{
// 注册已实现的类到分组
CATID rgcatid[1] ;
rgcatid[0] = catid;
hr = pcr->RegisterClassImplCategories(clsid,1,rgcatid);
}
if (pcr != NULL)
pcr->Release();
return hr;
}
HRESULT UnRegisterCLSIDInCategory(REFCLSID clsid,CATID catid)
{
ICatRegister* pcr = NULL ;
HRESULT hr = S_OK ;
hr = CoCreateInstance(CLSID_StdComponentCategoriesMgr,
NULL,CLSCTX_INPROC_SERVER,IID_ICatRegister,(void**)&pcr);
if (SUCCEEDED(hr))
{
// 从分组卸载组件
CATID rgcatid[1] ;
rgcatid[0] = catid;
hr = pcr->UnRegisterClassImplCategories(clsid, 1, rgcatid);
}
if (pcr != NULL)
pcr->Release();
return hr;
}
//下面来两个函数分别在DllRegisterServer和DllUnregisterServer中使用,参数均为控件的GUID。
HRESULT RegisterTwo(REFCLSID clsid)// 注意clsid就是控件的GUID
{
// 注册控件是安全性初始化的
/////////////////////////////////////////////////
HRESULT hr;
hr = CreateComponentCategory(CATID_SafeForInitializing, L"Controls safely initializable from persistent data!");
if (FAILED(hr))
return hr;
hr = RegisterCLSIDInCategory(clsid, CATID_SafeForInitializing);
if (FAILED(hr))
return hr;
// 注册控件是安全性脚本操作的
hr = CreateComponentCategory(CATID_SafeForScripting, L"Controls safely scriptable!");
if (FAILED(hr))
return hr;
hr = RegisterCLSIDInCategory(clsid, CATID_SafeForScripting);
if (FAILED(hr))
return hr;
return S_OK;
}
HRESULT UnRegisterTwo(REFCLSID clsid) // 注意clsid就是控件的GUID
{
// 删除注册表入口
HRESULT hr;
hr = UnRegisterCLSIDInCategory(clsid, CATID_SafeForInitializing);
if (FAILED(hr))
return hr;
//REFCLSID
hr = UnRegisterCLSIDInCategory(clsid, CATID_SafeForScripting);
if (FAILED(hr))
return hr;
return S_OK;
}