COMのマーシャリングされていないアンマネージのUnicode文字列SecureStringのメモリ

Question

保存された資格情報を使用できる特定のWindowsアプリケーションを自動化するために、Windowsの保存された資格情報を管理するためのAPI呼び出しをadvapi32.dllに呼び出して動作します。

いつでもパスワードに含まれるテキストとやりとりする必要がないので、SecureStringをパスワードに使用するようにコードを更新しようとしています。そのため、アプリケーションでパスワードがプレーンテキスト。

私はAPI呼び出しに渡すCOMタスクアロケータメモリにSecureStringをマーシャリングすることができています：それは戻ってアプリケーションにその情報を読み取るに来るとき、私は方法を見つけることができない、しかし

var unmanagedPassword = Marshal.SecureStringToCoTaskMemUnicode(userCredential.Password); 

そのような管理されていない文字列をSecureStringにマーシャリングするには、文字列またはバイト配列として管理されたメモリに文字列をコピーしないでください。

これを行うための安全な方法はありますか？見落としていますか？

Answer 1

Jeroen Mostertこのソリューションにつながるご意見は、可能な限り安全であるはずです。

Jeroenが記述しているように、各文字はshortとして読み取られ、一度に1つずつ新しいSecureStringに追加されます。

タスクアロケータメモリの管理されていない文字列はヌルで終了します。したがって、0になるまで文字を読み込みます。アンマネージバイナリ文字列はプレフィックス長であるため、以下のコードを少し修正する必要があります。

var outString = new SecureString(); 
    outString.AppendChar('p'); 
    outString.AppendChar('a'); 
    outString.AppendChar('s'); 
    outString.AppendChar('s'); 
    outString.AppendChar('w'); 
    outString.AppendChar('o'); 
    outString.AppendChar('r'); 
    outString.AppendChar('d'); 
    var ptr = Marshal.SecureStringToCoTaskMemUnicode(outString); 

    var inString = new SecureString(); 
    var i = 0; 
    short c; 

    while ((c = Marshal.ReadInt16(ptr, i)) != 0) 
    { 
     inString.AppendChar((char)c); 
     i += 2; 
    } 

    Marshal.ZeroFreeCoTaskMemUnicode(ptr);