Új hozzászólás Aktív témák
-
ddekany
veterán
Azt nem értem, mi itt a javíthatatlan hiba. Ellenőrizni kell a webstart-nak, hogy van-e (J-)XXaltjvm paraméter... ha van, ki kell venni. Min siklok át?
-
ddekany
veterán
"A sun keze alatt is füstölt a munka"
Na mondjuk elég nehézkesek, ha a nyelv fejlesztéséről van szó... Tudom, túl enterprise az egész, ott minden nyögvenyelős, meg az állandóság az isten. Csak aztán nem kell csodálkozni, ha mindenféle script nyelvek virágoznak fel, és a "fordítós" nyelvekről annyi marad meg az emberekben, hogy az nehézkes. Holott eredendően nem lenne annyira az, hogy ne érhetné meg az eredő előnyei miatt... És ki fejleszti mondjuk a Scala-t? A Sun/Oracle? Nem...
-
ddekany
veterán
Nagyon nem vagyok JWS-ben otthon de... kétlem, hogy aláíratlan alkalmazás bármit is elérhet a helyi fájlokból (már a Sun szándékai szerint), ideértve a jar-okat is, kivéve persze ha rt.jar-ról vagy efféle "gyáriról" van szó. Aláírt alkalmazásnál meg megkérdi a JWS, hogy megbízok-e az aláíróban. És ha jól veszem ki, itt a gáz az, hogy a JVM indításához, ami magát a JWS-t futtatja (tehát nem az azzal telepítendő alkalmazást), át lehet adni tetszőleges parancssori paramétereket... Ez ugye aligha szándékos feature, ami onnan is látszik, hogy egy hack ahogy át vannak adva a paraméterek, meg persze ez eleve elmebeteg ötlet lenne a készítőktől.
Persze vannak itt más gondok is, mint pl. hogy ki lehet cselezni a Java SecurityManager-ét (ennek semmi köze a JWS-es dologhoz amúgy), tehát amíg valami csak arra épít... Erről mondjuk nekem eleve az a véleményem, hogy addig teljes biztonságról úgysem lehet beszélni, amíg az alkalmazást nem zárjuk brutálisan és elvágóslagosan sandbox-ba, virtuális gépbe OS szinten ill. böngésző szinten. Onnantól kezdve egy exe is biztonságos, annál meg már csak kevesebb rosszat tud elkövezni egy Java alkalmazás, hiába is mászik ki a Java platform saját sandboxából. Ugyan ez vonatkozik a Flash-ra is, meg mindenre... Amíg a biztonságnál a plugin íróira számítunk... megette a fene.
[ Szerkesztve ]
-
ddekany
veterán
Te érted félre a dogot, nem kevertem össze az appletet a nem-applettel. Java Web Start-os alkalmazást egyetlen kattintással lehet indítani böngészőből, ergo, hasonlóan veszélyes mint az applet. Sőt, beágyazott object elemmel kattintás nélkül is indítható. Épp ezért is futnak a JWS-el indított alkalmazások is megszorított módban, hasonlóan egy applet-hez. Illetve, ha több jogosultságra van szüksége egy JWS-es alkalmazásnak, akkor rákérdez (bízol-e az aláíróban, stb.). Itt az a gond, hogy mikor nem kérdez rá, mert elvileg megszorított módban futna a cucc, akkor is tud olyanokat csinálni, amiket nem tudhatna.
[ Szerkesztve ]
Új hozzászólás Aktív témák
it A friss bejelentések szerint olyan alapvető biztonsági hiányosságokkal rendelkezik a Java, mely kritikus kockázatokat jelent.
- Tudományos Pandémia Klub
- Google Pixel topik
- A fociról könnyedén, egy baráti társaságban
- EAFC 24
- Konteó topic
- Magisk
- Távol-keleti webshopok OFF topikja (játékok, kuponok, stb.)
- Debrecen és környéke adok-veszek-beszélgetek
- Programajánló: idén sem marad el a Bacsis-tuning Retró Számítógép kiállítás
- Minden ami hőszivattyú
- További aktív témák...
- HP Laptop 17-by2024nf - 17,3"HD+ - i3-10110U - 8GB - 128GB SSD - 1TB HDD - Win11 PRO
- Macbook PRO 16 M1 PRO CHIP! 16GB/1TB (1024GB) SSD! Magyar! Gyönyörű! Akku 97%! Fulldoboz!
- Corsair iCUE 5000X RGB Tempered Glass Black (CC-9011212-WW) - Számla+Garancia, Ár alatt! BeszámítOK!
- HP ZBOOK POWER 15 G9 - 15,6"FHD IPS - i7-12800H - 32GB - 512GB - T600 4GB - Win11 - 2 év garancia
- Samsung 850 EVO Basic 2.5 500GB SATA3 (MZ-75E500B) - Számla + Garancia