Mozc项目中Windows平台的安全加载机制优化

在Windows平台的软件开发中，动态链接库(DLL)的加载机制直接影响着应用程序的安全性和稳定性。Mozc项目作为一款输入法引擎，在Windows平台构建时需要特别注意DLL加载的安全性问题。

背景与问题

Windows系统提供了/DEPENDENTLOADFLAG链接器选项，这个选项可以控制应用程序加载依赖DLL时的搜索行为。通过合理设置这个标志，开发者可以限制系统搜索DLL的路径范围，从而减少DLL劫持等安全风险。

在Mozc项目的GYP构建系统中，已经为Windows平台配置了适当的/DEPENDENTLOADFLAG选项：

• 对于主程序(mozc_server.exe)设置为LOAD_LIBRARY_SEARCH_SYSTEM32 | LOAD_LIBRARY_SEARCH_APPLICATION_DIR(0x0A00)
• 对于输入法模块(mozc_tip64.dll)设置为LOAD_LIBRARY_SEARCH_SYSTEM32(0x0800)

然而在迁移到Bazel构建系统后，这一重要安全配置尚未实现，导致构建出的二进制文件缺少了这些安全加载标志。

技术细节分析

Windows系统中的DLL搜索顺序默认遵循特定路径顺序，这可能导致安全隐患。/DEPENDENTLOADFLAG选项通过以下标志控制搜索行为：

1. LOAD_LIBRARY_SEARCH_SYSTEM32(0x0800)：限制DLL搜索仅在系统32目录
2. LOAD_LIBRARY_SEARCH_APPLICATION_DIR(0x0200)：限制DLL搜索仅在应用程序目录
3. 组合标志(0x0A00)：同时启用上述两种安全搜索路径

对于输入法这种系统级组件，限制DLL加载路径尤为重要。Mozc项目中的配置策略是：

• 主程序允许从系统目录和自身目录加载DLL
• 输入法模块仅允许从系统目录加载DLL

解决方案与实现

在Bazel构建系统中实现这一安全配置，需要在链接器选项中添加相应的标志。具体实现需要考虑：

1. 区分不同目标类型(可执行文件/DLL)
2. 为不同组件设置不同的安全标志
3. 确保与原有GYP构建保持相同安全级别

实现后，可以通过dumpbin工具验证配置是否生效，检查输出中是否显示正确的"Dependent Load Flag"值。

安全意义

这种配置带来的安全优势包括：

• 防止恶意DLL通过应用程序目录或当前目录被加载
• 确保系统关键组件只从受信任的系统目录加载
• 减少攻击面，防范DLL劫持等攻击手段

对于输入法这种需要高权限运行的系统组件，这种安全加固尤为重要，可以显著提高整个系统的安全性。

总结

在软件构建过程中，安全配置的完整迁移往往容易被忽视。Mozc项目从GYP到Bazel的迁移过程中，及时识别并修复了Windows平台DLL加载安全配置的遗漏问题，体现了对软件安全性的高度重视。这种细致的安全考量值得其他跨平台项目借鉴。