Modificação na política de segurança ASP.NET

Manutenção Programada 20/05/2014
Conforme orientação do fabricante do sistema operacional Windows Server 2003 Enterprise, aplicamos políticas de segurança recomendadas para ambientes compartilhados com foco na integridade dos seus dados.

Desta forma, para garantir o total isolamento das aplicações hospedadas, as aplicações ASP.NET serão executadas com o nível de segurança “Medium Trust” com algumas modificações para possibilitar a utilização de recursos importantes como OLEDB, ODBC, Webservices, Reflection, SMTP, entre outros.

Esse nível de segurança restringe o acesso a recursos críticos do sistema e junto com outras configurações de restrição garante que todo o ambiente esteja seguro e protegido contra possíveis ataques de códigos maliciosos que podem interferir tanto na estabilidade do servidor, como na segurança da sua aplicação.

A aplicação da nova política será realizada de forma gradativa para todos os domínios da sua revenda. Confira abaixo os sites a serem migrados nesse lote bem como a data e informações sobre a janela de manutenção:

Data: 21/05/2014, a partir das 00h05min.
Período máximo de interrupção: 1 interrupção de no máximo 3 minutos, que ocorrerá entre 0h05min e às 6h00min.
Atividades: Aplicação de política de segurança “Medium Trust”

 

Através de sistema automatizado desenvolvido para testar a compatibilidade das suas aplicações, não identificamos erros provenientes da mudança a ser realizada.

Porém, ressaltamos que erros relacionados à segurança podem ocorrer em outros locais de sua aplicação, uma vez que o teste realizado abrange a url principal da aplicação. Caso ocorram, temos duas opções para você:

 

1) (RECOMENDADO) Adaptar a sua aplicação para que seja compatível com o nível de segurança “Medium Trust”, mantendo seu site seguro. Seguem recomendações para adaptar a sua aplicação:

– Caso você seja o desenvolvedor do componente, verifique se ele está assinado digitalmente através de uma chave “Strong Name”. É necessário que o atributo “AllowPartiallyTrustedCallers” seja definido no código fonte do componente conforme
msdn.microsoft.com/en-us/library/system.security.allowpartiallytrustedcallersattribute.aspx. Verifique também em todos os componentes dependentes, pois caso algum deles apresente o mesmo problema, o erro pode ser apresentado no componente que o chamou.

– Caso você não seja o desenvolvedor do componente, solicite junto ao fabricante uma versão compatível com ambientes “partially trusted” ou “medium trust”.

 

2) (NÃO RECOMENDADO) Solicitar migração para ambiente com o nível de segurança “Full Trust”, suscetível a vulnerabilidades que podem ser exploradas conforme previsto pela fabricante do software. Porém, só faremos a migração em caso de concordância em relação ao risco que ela oferece. Para tanto, você deve abrir um chamado na categoria
Programação -> ASP.NET com o título “Solicitação Full Trust” contendo a seguinte declaração: “Solicito que minha aplicação seja migrada para ambiente com o nível de segurança “Full Trust” e afirmo estar ciente dos riscos de segurança dessa escolha.”