ActiveX控件的安全初始化和腳本操作 和 數字簽名SIGN

摘要：數字簽名SIGN保證控件在下載下傳時候的安全性。如果你的代碼已經經過數字簽名，即使使用者IE的安全設定很高也能下載下傳，安裝并登記。但是在頁面上初始化，或者用腳本運作這個控件，為了保證安全性，還需要進行MARK。   

  數字簽名SIGN   

  曹曉峰   

  摘要：數字簽名保證控件的安全性。數字簽名使用證書。證書一般有個人證書和授信公司證書。個人證書是對個人的信任，由個人承擔責任，控件每次下載下傳時需要進行确認。公司證書是由第三方公司釋出的，保證控件的安全性，公司證書需要付費。Windows授信的證書公司有VeriSign，SecureSign等等。由這些公司證書簽名的控件在下載下傳的時候不需要确認。   

  一．工具   

  工具包括以下幾個軟體：   

  makecert.exe     制作cer格式的證書，即X.509證書，同時可以建立私鑰（防止抵賴）   

  cert2spc.exe     将cer格式證書轉換成spc格式證書，即PKCS   #7證書   

  signcode.exe     将證書簽署到ocx上去   

  chktrust.exe     檢查簽署證書後的ocx是否正确   

  certmgr.exe，是管理證書用的，可以從這裡面導出root.cer來，不過沒有私鑰用不上。   

  二．步驟   

  下面是具體的步驟：   

  1、建立一個自己的證書檔案：   

  makecert   /sv   "Record.PVK"   /n   "CN=SinoWave"   dream.cer   

  這裡，Record.PVK表示新建立的私人密鑰儲存檔案名   

              SinoWave是你想顯示的公司名   

              dream.cer是你建立最後的證書檔案名   

  這些根據你自己的要求填寫，最後得到Record.PVK和dream.cer兩個檔案。其中，運作過程中需要輸入私人密鑰的保護密碼(sw)，一定要輸入一緻，不要出錯。   

  2、轉換cer格式為spc格式（可以省略），得到dream.spc檔案。   

  cert2spc   dream.cer   dream.spc   

  3、用VS6工具中的   cabarc生成internet分發的CAB包，   

  cabarc.exe   N   DataTransfer.cab   DataTransfer.ocx   

  4、同時制作分發代碼（.htm，其中包含使IE可以自動下載下傳安裝包的代碼）。   

  現在得到了2個檔案DataTransfer.CAB和DataTransfer.htm。   

  .htm中包含類似如下的代碼：   

  <OBJECT   ID="   DataTransfer   "   CLASSID="CLSID:   CA466D54-0684-49D2-B0C3-DD7E09EA76D3"   CODEBASE="http://192.9.200.8/DataTransfer.CAB#version=1,0,0,0"></OBJECT>   

  注意：一定要寫上"http://   192.9.200.8/"，真正發行時最好使用url。   

  5、給CAB檔案簽名   

  運作signcode，指令行的我沒有試驗通過，我是通過界面實作的。signcode運作後會出現數字簽名向導，首先選擇DataTransfer.CAB，下一步後會出現簽名選項，一種是典型，一種是自定義。選擇自定義，這樣才能從檔案選擇證書，選擇前面制作的dream.spc，再下一步是選擇私鑰檔案，選擇Record.PVK，輸入私人密鑰的保護密碼，選擇雜湊演算法，一般用md5就可以了，下一步是選擇其他證書，直接下一步，填寫一下這個控件的聲明，使用者用ie浏覽的時候，會彈出證書說明，再下一步是加蓋時間戳，例如http://timestamp.sheca.com/timestamp   

  6、用chktrust檢查是否正确   

  chktrust   -v   DataTransfer.CAB   

  7、将簽名後的DataTransfer.CAB和DataTransfer.htm複制到IIS的某個目錄下。并在IE中打開DataTransfer.htm檔案進行測試。  

ActiveX控件的安全初始化和腳本操作MARK   

  簡介   

  很多微軟的ActiveX控件(本地/遠端)都需要使用持久性資料進行初始化，而且它們大多數都是可以通過腳本進行操作的   (支援一個方法，事件和屬性的集合提供腳本語言操作)。初始化(使用持久性資料)和腳本操作都需要一個确定的安全性機制保證其安全性不被違背。   

  初始化安全性   

  當一個控件初始化時，可以從一個   IPersist*   接口獲得資料   (來自一個本地/遠端的URL)提供初始化狀态。這是一個潛在的安全隐患，因為資料可能來自一個不可信的資料源。不提供安全性保證的控件将無視資料源的安全性。   

  有兩種方法可以檢測控件的初始化安全性。第一種使用元件分組管理器(Component   Categories   Manager)建立一個正确的入口到系統系統資料庫。IE檢測系統資料庫之後才調用你的控件決定是否這些入口存在。第二種方法實作一個名稱為IObjectSafe的接口到你的控件。如果IE發現你的控件支援IObjectSafety，它調用   IObjectSafety::SetInterfaceSafetyOptions   方法然後才載入你的控件。   

  注意，第一種方法是基于元件的安全性，也就是如果設定了系統資料庫，那麼整個元件的所有的接口都被标注為安全的；而第二種方法（實作IObjectSafety）是基于接口的，也就是它的作用範圍是接口，必須一個接口一個接口地标注。第二種方法的運作性能要優于第一種。在保證安全的情況下，兩種方法同時使用更好。   

  腳本操作安全性   

  代碼簽字可以保證使用者其代碼的可信度。但是運作一個   ActiveX   控件可以被腳本通路将帶來幾個新的安全性問題。即使控件被認為是可靠的，如果使用不可信腳本代碼通路也不能保證其安全性。比如，微軟的   Word   被認為是一個安全的程式，但是一個宏可以使用自動化模型的腳本删除使用者計算機上的檔案，載入宏病毒或者蠕蟲病毒。   

  有兩種方法提供你的控件的腳本操作安全性保證。第一種是使用元件分組管理器   (Component   Categories   Manager)   ——在元件導入以後在系統資料庫上面建立正确的入口。IE在腳本操作之前檢查系統資料庫确認安全性。第二種是實作一個   IObjectSafety   接口到你的控件。如果IE發現你的控件支援   IObjectSafety，就在導入控件之前調用   IObjectSafety::SetInterfaceSafetyOptions   方法來確定安全性腳本操作。   

  注意，第一種方法是基于元件的安全性，也就是如果設定了系統資料庫，那麼整個元件的所有的接口都被标注為安全的；而第二種方法是基于接口的，也就是它的作用範圍是接口，必須一個接口一個接口地标注。第二種方法的運作性能要優于第一種。在保證安全的情況下，兩種方法同時使用更好。   

  方法一：IObjectSafety方法：   

  MFC：實作接口IObjectSafety   

  ATL：繼承接口IObjectSafetyImpl<CPolyCtl,   INTERFACESAFE_FOR_UNTRUSTED_CALLER|   INTERFACESAFE_FOR_UNTRUSTED_DATA   >   

  具體方法：   

  一． MFC   

  1． 在控件類的頭檔案裡   

  （1）加入檔案#include   <objsafe.h>   

  （2）在類的定義裡，聲明接口映射表，并加入接口定義（以嵌套類的形式）   

  DECLARE_INTERFACE_MAP()   

  BEGIN_INTERFACE_PART(ObjSafe,   IObjectSafety)   

  STDMETHOD_(HRESULT,   GetInterfaceSafetyOptions)   (     

                          /*   [in]   */   REFIID   riid,   

                          /*   [out]   */   DWORD   __RPC_FAR   *pdwSupportedOptions,   

                          /*   [out]   */   DWORD   __RPC_FAR   *pdwEnabledOptions   

  );   

                  STDMETHOD_(HRESULT,   SetInterfaceSafetyOptions)   (     

                          /*   [in]   */   DWORD   dwOptionSetMask,   

                          /*   [in]   */   DWORD   dwEnabledOptions   

  END_INTERFACE_PART(ObjSafe);   

  2． 在控件類的CPP檔案裡   

  （1）建立接口映射表   

  BEGIN_INTERFACE_MAP(   CMyCtrl,   COleControl   )   

  INTERFACE_PART(CMyCtrl,   IID_IObjectSafety,   ObjSafe)   

  END_INTERFACE_MAP()   

  （2）加入接口類的實作   

  ULONG   FAR   EXPORT   CMyCtrl::XObjSafe::AddRef()   

  {   

          METHOD_PROLOGUE(CMyCtrl,   ObjSafe)   

          return   pThis->ExternalAddRef();   

  }   

  ULONG   FAR   EXPORT   CMyCtrl::XObjSafe::Release()   

          return   pThis->ExternalRelease();   

  HRESULT   FAR   EXPORT   CMyCtrl::XObjSafe::QueryInterface(   

          REFIID   iid,   void   FAR*   FAR*   ppvObj)   

          return   (HRESULT)pThis->ExternalQueryInterface(&iid,   ppvObj);   

  const   DWORD   dwSupportedBits   =     

  INTERFACESAFE_FOR_UNTRUSTED_CALLER   |   

  INTERFACESAFE_FOR_UNTRUSTED_DATA;   

  const   DWORD   dwNotSupportedBits   =   ~   dwSupportedBits;   

  /////////////////////////////////////////////////////////////////////////////   

  //   CStopLiteCtrl::XObjSafe::GetInterfaceSafetyOptions   

  //   Allows   container   to   query   what   interfaces   are   safe   for   what.   We're   

  //   optimizing   significantly   by   ignoring   which   interface   the   caller   is   

  //   asking   for.   

  HRESULT   STDMETHODCALLTYPE     

  CMyCtrl::XObjSafe::GetInterfaceSafetyOptions(     

  /*   [in]   */   REFIID   riid,   

                  /*   [out]   */   DWORD   __RPC_FAR   *pdwSupportedOptions,   

                  /*   [out]   */   DWORD   __RPC_FAR   *pdwEnabledOptions)   

  METHOD_PROLOGUE(CMyCtrl,   ObjSafe)   

  HRESULT   retval   =   ResultFromScode(S_OK);   

  //   does   interface   exist?   

  IUnknown   FAR*   punkInterface;   

  retval   =   pThis->ExternalQueryInterface(&riid,     

  (void   *   *)&punkInterface);   

  if   (retval   !=   E_NOINTERFACE)   { //   interface   exists   

  punkInterface->Release();   //   release   it--just   checking!   

  //   we   support   both   kinds   of   safety   and   have   always   both   set,   

  //   regardless   of   interface   

  *pdwSupportedOptions   =   *pdwEnabledOptions   =   dwSupportedBits;   

  return   retval;   //   E_NOINTERFACE   if   QI   failed   

  //   CStopLiteCtrl::XObjSafe::SetInterfaceSafetyOptions   

  //   Since   we're   always   safe,   this   is   a   no-brainer--but   we   do   check   to   make   

  //   sure   the   interface   requested   exists   and   that   the   options   we're   asked   to   

  //   set   exist   and   are   set   on   (we   don't   support   unsafe   mode).   

  CMyCtrl::XObjSafe::SetInterfaceSafetyOptions(     

                  /*   [in]   */   REFIID   riid,   

                  /*   [in]   */   DWORD   dwOptionSetMask,   

                  /*   [in]   */   DWORD   dwEnabledOptions)   

  pThis->ExternalQueryInterface(&riid,   (void   *   *)&punkInterface);   

  if   (punkInterface)   { //   interface   exists   

  else   {   //   interface   doesn't   exist   

  return   ResultFromScode(E_NOINTERFACE);   

  //   can't   set   bits   we   don't   support   

  if   (dwOptionSetMask   &   dwNotSupportedBits)   {     

  return   ResultFromScode(E_FAIL);   

  //   can't   set   bits   we   do   support   to   zero   

  dwEnabledOptions   &=   dwSupportedBits;   

  //   (we   already   know   there   are   no   extra   bits   in   mask   )   

  if   ((dwOptionSetMask   &   dwEnabledOptions)   !=   

    dwOptionSetMask)   {   

  //   don't   need   to   change   anything   since   we're   always   safe   

  return   ResultFromScode(S_OK);   

  二． ATL   

  在控件類加一個繼承接口即可   

  public   IObjectSafetyImpl<CAtlCtrl,   INTERFACESAFE_FOR_UNTRUSTED_CALLER     

                                                      |   INTERFACESAFE_FOR_UNTRUSTED_DATA>  

方法二：使用元件分組管理器   

  前面提到，IE通過檢測系統資料庫決定一個控件是否是可以安全性初始化和腳本操作的。IE通過調用   ICatInformation::IsClassOfCategories   方法決定是否控件支援給出的安全性分組。   

  如果一個控件使用元件分組管理器将自己注冊為安全的，該控件的系統資料庫入口就包含一個實作的分組關鍵字，該關鍵字含有一個或者兩個子鍵。一個子鍵設定控件支援安全性初始化，另一個設定支援安全性腳本操作。安全性初始化子鍵依賴于   CATID_SafeForInitializing;   安全性腳本操作子鍵依賴于   CATID_SafeForScripting。(其他元件分組子鍵定義在   Comcat.h   檔案，而安全性初始化和腳本操作子鍵定義在   Objsafe.h   檔案。)     

  下列示範顯示了一個系統資料庫入口(Tabular   Data   Control)，該ActiveX控件同IE綁定支援建立資料驅動的網頁。因為控件是可以安全性腳本操作和初始化的，系統資料庫中将其标記為安全性腳本操作   

  (7DD95801-9882-11CF-9FA9-00AA006C42C4)   和安全性初始化   

  (7DD95802-9882-11CF-9FA9-00AA006C42C4)。   

  注意，這兩個GUID值是固定的。   

  将一個控件注冊為安全的   

  系統系統資料庫含有一個元件分組鍵來羅列每一個安裝在系統中的元件的功能性分組。下面示範了一個元件分組鍵。假設   CATID_SafeForScripting   (7DD95801-9882-11CF-9FA9-00AA006C42C4)   和   CATID_SafeForInitializing   (7DD95802-9882-11CF-9FA9-00AA006C42C4)   在清單之中。     

  要建立一個元件分組的子鍵，你的控件必須包含以下步驟:   

  1．建立一個元件分組管理器(Component   Categories   Manager)執行個體來接收   ICatRegister   接口的位址。   

  2．設定正确的   CATEGORYINFO   結構分量。   

  3．調用   ICatRegister::RegisterCategories   方法，将初始化的   CATEGORYINFO   結構變量傳遞給這個方法。   

  　   

  下面的例子示範如何使用這些步驟來完成一個名稱為   CreateComponentCategory全局函數，生成元件分組。   

  #include   "comcat.h"   

  HRESULT   CreateComponentCategory(CATID   catid，WCHAR*   catDescription)   

  ICatRegister*   pcr   =   NULL   ;   

  HRESULT   hr   =   S_OK   ;   

  　     

  //建立一個元件管理器執行個體(程序内)   

  hr   =   CoCreateInstance(CLSID_StdComponentCategoriesMgr，   

  NULL，CLSCTX_INPROC_SERVER，IID_ICatRegister，(void**)&pcr);   

  if   (FAILED(hr))   

  return   hr;   

  //   确信   HKCR\Component   Categories\{..catid...}   鍵已經被注冊   

  CATEGORYINFO   catinfo;   

  catinfo.catid   =   catid;   

  catinfo.lcid   =   0x0409   ;   //   英語   

  //   确信提供的描述在127個字元以内   

  int   len   =   wcslen(catDescription);   

  if   (len>127)   

  len   =   127;   

  wcsncpy(catinfo.szDescription，catDescription，len);   

  //   确信描述使用'\0'結束   

  catinfo.szDescription[len]   =   '\0';   

  hr   =   pcr->RegisterCategories(1，&catinfo);   

  pcr->Release();   

  當一個子鍵被建立到需要的分組，控件應該注冊到該分組，需要以下步驟:   

  1．建立一個元件分組管理器執行個體接收   ICatRegister   接口位址。   

  2．調用   ICatRegister::RegisterClassImplCategories   方法，将控件的   CLSID   和需要的   category   ID   作為參數傳遞給函數。   

  下面的例子示範如何将一個名稱為   RegisterCLSIDInCategory   加入執行個體控件。   

  HRESULT   RegisterCLSIDInCategory(REFCLSID   clsid，CATID   catid)   

  //   注冊你的元件分組資訊   

  if   (SUCCEEDED(hr))   

  //   注冊已實作的類到分組   

  CATID   rgcatid[1]   ;   

  rgcatid[0]   =   catid;   

  hr   =   pcr->RegisterClassImplCategories(clsid，1，rgcatid);   

  if   (pcr   !=   NULL)   

  一個控件應該在調用   DLLRegisterServer   函數是注冊安全性初始化和腳本操作。(DLLRegisterServer   由元件對象模型   [COM]   調用建立系統資料庫入口)   在執行個體元件中   DLLRegisterServer   函數調用了   CreateComponentCategory   和   RegisterCLSIDInCategory   函數   (它們保證控件的安全性初始化和腳本操作)。下面的就是   DLLRegisterServer   的實作。   

  STDAPI   DllRegisterServer(void)   

  HRESULT   hr;   //   return   for   safety   functions   

  AFX_MANAGE_STATE(_afxModuleAddrThis);   

  if   (!AfxOleRegisterTypeLib(AfxGetInstanceHandle()，_tlid))     

  return   ResultFromScode(SELFREG_E_TYPELIB);   

  if   (!COleObjectFactoryEx::UpdateRegistryAll(TRUE))   

  return   ResultFromScode(SELFREG_E_CLASS);   

  RegisterTwo(CLSID_SafeItem);   

  return   NOERROR;   

  HRESULT   RegisterTwo(REFCLSID   clsid)   

  //   注冊控件是安全性初始化的   

  /////////////////////////////////////////////////   

  HRESULT   hr;   

  hr   =   CreateComponentCategory(CATID_SafeForInitializing,   L"Controls   safely   initializable   from   persistent   data!");   

  hr   =   RegisterCLSIDInCategory(clsid,   CATID_SafeForInitializing);   

  //   注冊控件是安全性腳本操作的   

  hr   =   CreateComponentCategory(CATID_SafeForScripting,   L"Controls   safely   scriptable!");   

  hr   =   RegisterCLSIDInCategory(clsid,   CATID_SafeForScripting);   

  return   S_OK;   

  作為一個建立所有安全性分組入口到系統資料庫的控件，它也應該負責解除安裝所有的分組資訊。COM   調用控件的   DLLUnRegisterServer   函數删除相應的系統資料庫入口然後解除安裝該控件。   

  要解除安裝一個安全性初始化和腳本操作控件，控件應該完成以下任務:   

  1   建立一個元件分類管理器執行個體接收   ICatRegister   接口位址。   

  2   調用   ICatRegister::UnRegisterClassImplCategories   方法，将控件的   CLSID   和必要的   category   ID   作為參數傳遞   

  下面的例子示範如何完成一個   UnRegisterCLSIDInCategory   。   

  HRESULT   UnRegisterCLSIDInCategory(REFCLSID   clsid，CATID   catid)   

  //   從分組解除安裝元件   

  hr   =   pcr->UnRegisterClassImplCategories(clsid，1，rgcatid);   

  我們前面提過，一個控件負責删除安全性初始化和腳本操作入口，下面示範如何完成這兩個步驟:     

  STDAPI   DllUnregisterServer(void)   

  if   (!AfxOleUnregisterTypeLib(_tlid,   _wVerMajor,   _wVerMinor))   

  if   (!COleObjectFactoryEx::UpdateRegistryAll(FALSE))   

  UnRegisterTwo(CLSID_SafeItem);   

  HRESULT   UnRegisterCLSIDInCategory(REFCLSID   clsid,CATID   catid)   

  hr   =   CoCreateInstance(CLSID_StdComponentCategoriesMgr,   

  NULL,CLSCTX_INPROC_SERVER,IID_ICatRegister,(void**)&pcr);   

  hr   =   pcr->UnRegisterClassImplCategories(clsid,   1,   rgcatid);   

  附件，   CXFMARK.h   

  以上函數形成一個檔案，   

  const   GUID   CATID_SafeForInitializing   =     

  {0x7DD95802,0x9882,0x11CF,{0x9F,0xA9,0x00,0xAA,0x00,0x6C,0x42,0xC4}};   

  const   GUID   CATID_SafeForScripting   =     

  {0x7DD95801,0x9882,0x11CF,{0x9F,0xA9,0x00,0xAA,0x00,0x6C,0x42,0xC4}};   

HRESULT   CreateComponentCategory(CATID   catid,WCHAR*   catDescription)   

  HRESULT   hr   =   S_OK;   

  wcsncpy(catinfo.szDescription,catDescription,len);   

  hr   =   pcr->RegisterCategories(1,&catinfo);   

  HRESULT   RegisterCLSIDInCategory(REFCLSID   clsid,   CATID   catid)   

  hr   =   pcr->RegisterClassImplCategories(clsid,1,rgcatid);   

  //下面來兩個函數分别在DllRegisterServer和DllUnregisterServer中使用，參數均為控件的GUID。   

  HRESULT   RegisterTwo(REFCLSID   clsid)//   注意clsid就是控件的GUID   

  HRESULT   UnRegisterTwo(REFCLSID   clsid)   //   注意clsid就是控件的GUID   

  //   删除系統資料庫入口   

  hr   =   UnRegisterCLSIDInCategory(clsid,   CATID_SafeForInitializing);   

  //REFCLSID   

  hr   =   UnRegisterCLSIDInCategory(clsid,   CATID_SafeForScripting);