Új hozzászólás Aktív témák
-
ddekany
veterán
Nagyon nem vagyok JWS-ben otthon de... kétlem, hogy aláíratlan alkalmazás bármit is elérhet a helyi fájlokból (már a Sun szándékai szerint), ideértve a jar-okat is, kivéve persze ha rt.jar-ról vagy efféle "gyáriról" van szó. Aláírt alkalmazásnál meg megkérdi a JWS, hogy megbízok-e az aláíróban. És ha jól veszem ki, itt a gáz az, hogy a JVM indításához, ami magát a JWS-t futtatja (tehát nem az azzal telepítendő alkalmazást), át lehet adni tetszőleges parancssori paramétereket... Ez ugye aligha szándékos feature, ami onnan is látszik, hogy egy hack ahogy át vannak adva a paraméterek, meg persze ez eleve elmebeteg ötlet lenne a készítőktől.
Persze vannak itt más gondok is, mint pl. hogy ki lehet cselezni a Java SecurityManager-ét (ennek semmi köze a JWS-es dologhoz amúgy), tehát amíg valami csak arra épít... Erről mondjuk nekem eleve az a véleményem, hogy addig teljes biztonságról úgysem lehet beszélni, amíg az alkalmazást nem zárjuk brutálisan és elvágóslagosan sandbox-ba, virtuális gépbe OS szinten ill. böngésző szinten. Onnantól kezdve egy exe is biztonságos, annál meg már csak kevesebb rosszat tud elkövezni egy Java alkalmazás, hiába is mászik ki a Java platform saját sandboxából. Ugyan ez vonatkozik a Flash-ra is, meg mindenre... Amíg a biztonságnál a plugin íróira számítunk... megette a fene.
[ Szerkesztve ]
Új hozzászólás Aktív témák
it A friss bejelentések szerint olyan alapvető biztonsági hiányosságokkal rendelkezik a Java, mely kritikus kockázatokat jelent.
- Kerékpárosok, bringások ide!
- Belsős dokumentum az Intel CPU-k stabilitási gondjairól
- Kaposvár és környéke adok-veszek-beszélgetek
- Milyen egeret válasszak?
- iPhone topik
- Kínai, és egyéb olcsó órák topikja
- Telekom mobilszolgáltatások
- Sorozatok
- Huami Amazfit Bip okosóra
- Azonnali fáradt gőzös kérdések órája
- További aktív témák...
