BinaryFormatter десериализует вредоносный код? ⇐ C#

[Anonymous]

Я слышал, что по поводу BinaryFormatter есть вопросы по безопасности.

Я отправляю созданные пользователем файлы на сервер с клиента. Это сериализованные классы, которые затем читаются сервером.

Насколько я понимаю, это опасно. Но я пробовал отправлять одноразовые классы и даже пробовал класс, реализующий ISerilizable. Но оба были отклонены из-за того, что сервер не знал исходную сборку.

Код: Выделить всё

[Serializable]
public class Ship : ISerializable
{
public Ship()
{

}

public Ship(SerializationInfo info, StreamingContext context)
{
Console.WriteLine("test");
}

public void GetObjectData(SerializationInfo info, StreamingContext context)
{

}
}

Так как же клиент может успешно загрузить код на мой сервер через этот вектор? Подделывая имя пространства имен и открытый ключ, заставляя сервер попытаться десериализовать его, запуская таким образом приведенный выше код? Или есть более тонкие способы сделать это?

К сожалению, эта функция является фундаментальной в моей игре, поэтому я хочу быть осторожным.

Подробнее здесь: https://stackoverflow.com/questions/209 ... cious-code