zeKeyセキュリティ対策

今のところzeKeyでは

外部アセンブリ禁止

Blend機能は惜しい気もしますが そこまで必要性は感じないし ほかのDLL読み込んでまで必要な機能が思いつかない
DLL自作出来るような人はもっといいのを作ってください

namespaceはスキン用以外読み込ませない

Ｃ＃は逆コンパイルも簡単らしいので（よく知りませんが）クラス名やメンバ名がわかってもいいように namespaceを分けてxmlns:zを決め打ちすることで安全性が上がるはず
System等が欲しいなと思う時もあるんですが あまりにも広範囲すぎて危なそうなので禁止します

スキンからのアクセスをそのフォルダ以下に制限

Image等のSourceを内部で強制変換します

HyperlinkExクリックで確認ダイアログ

当然ですね

をセキュリティ対策としたいと思います

セキュリティガバガバはさすがにイヤですが ユーザーの自由度がなくなってしまっては意味が無いのでこのあたりが落し所かなと思います
もちろん大穴が見つかったら修正するつもりですが どうしようもない場合公開中止もあるかもしれません

セキュリティ対策をユーザーの責任でキャンセルを許すかどうかですが
スキン設定ファイルにユーザー固有値を含めた上で暗号化して保存する等で 十分安全を担保して実現可能だと思います がそこまで必要か悩み中です


悪意のあるスキンを使ってしまった というのは
例えば ランチャーソフト向けに（ランチャーソフトとは無関係の悪意がある人が）便利設定と偽って設定ファイルとＰＣ破壊バッチファイルをセットで公開し それを使ってしまったのと大差ないというのは言いすぎでしょうか？
それとも ブラウザのバグを突いてＨＰを開いただけでＰＣがクラッシュするような状況に近いのでしょうか？
前者はさすがに使ったユーザーの責任 後者はソフト側にも責任（法的には損害賠償などは無理でしょうが）があるような感じがしますが スキンファイルの扱いは前者寄りだと思うのですがどうでしょう？

無責任な言い方かもしれませんが 十二分に注意喚起して それ以上はユーザー責任で使ってもらうしかないかなと思います