Új hozzászólás Aktív témák
-
VeAr
csendes tag
„A legnagyobb gond a fejlesztők munkáját megkönnyítő Java Web Startot érinti”
Ez mi ez? Mi köze a JWS-nek a fejlesztők munkájának megkönnyítéséhez? Tán azon keresztül indítja a fószer a Netbeans IDE-t? Az ilyen mondatokból rögtön látszik, hogy hozzá nem értő írta.
Egy másik oldalon írta valaki, és teljesen egyetértek vele: Ha egy JWS-t elindítasz, és jóváhagyod, akkor az a gépeden bármit megtehet. Nem kell hozzá exploit, semmi. Ebből a szempontból ez az "exploit" teljesen irreleváns.
Java-s körökben régóta nagy elégedetlenség az, hogy a JWS-t állandóan biztonságilag kritizálják. Holott, mennyi olyan EXE program van, amit a felhasználó simán letölt a netről és elindít, anélkül hogy aggályosnak találná.
Mint azt már egy Sunos fórumon említettem, az egész a dolog megítélésén múlik. Amikor egy JWS indul, akkor a Java ad fel egy figyelmeztető ablakot, amikor meg egy letöltött EXE-t indítunk, akkor a böngésző figyelmeztet (úgy ahogy). Szerintem a megoldás az kellene legyen, hogy a JWS-ből szedjék ki a figyelmeztetést, és a böngésző ugyanúgy figyelmeztessen JWS indításkor, mint egy leöltött EXE indításakor.
-
VeAr
csendes tag
Jaja, indításkor bármilyen lokális fájlrendszerben elérhető JAR-t el lehet indítani. De a JWS lényege, hogy különben is el tud indítani bármilyen letöltött JAR-t, és abból pedig el lehet indítani lokálisan elérhető JAR-t is. Szóval az "exploit" nem tud többet, mint amit exploit nélkül is meg lehet csinálni a JWS-el. Ez nekem úgy tűnik, hogy ez egy troll iromány. Amiért nem elég erős a dolog, azért még az SMB share-t is belekeveri, hogy ködösítsen. EXE-t is el lehet SMB share-ről indítani. Akkor meg miért baj, hogy JAR-t is el lehet?
-
VeAr
csendes tag
Ne menj sehova.
1. Nem a Sun JVM applet része a bugos, hanem a Java Web Start. Ez azért fontos, mert biztonsági szempontból csak az applet futtatás jelent kockázatot. JWS futtatásakor feltételezzük a felhasználóról, hogy tudja mit csinál, mint amikor egy EXE-t elindít, akkor is a kockázatot a felhasználó viseli.
2. A bug lehetővé teszi, hogy olyat csinálj, amit bug nélkül is megtehetsz
3. Személy szerint egyetlen elterjedtebb olyan szoftvert ismerek ami JWS-t használ, tehát ha egy warez (porno, crack, stb) oldal felad egy JWS ablakot, akkor nyugodtan feltételezheted, hogy nem jó szándékból teszi. Mint ahogy EXE fájlokat nem szokás kockázatos oldalakról letölteni, úgy JWS-t se ajánlott ilyen oldalról letölteni. -
VeAr
csendes tag
Bocs, visszavonok pár kijelentést. A cucc JavaScript-ben töltődik le, magától, és nem adja fel a figyelmeztető ablakot. De az továbbra is elég korlátozza a felhasználhatóságát, hogy csak akkor működik, ha a windows SMB protokollja nyitva van a nagyvilág felé (vagyis a gép nincs tűzfal mögött).
-
VeAr
csendes tag
Amiről te írtál az az applet: sandbox, aláírás, security manager. Ez a hiba a Java Web Start-ról szól, ami egy teljesen más dolog. Azért tartom félrevezetőnek a címet, mert ennek a hibának semmi köze a Java appletekhez. Az applet az, ami a "böngészőben" fut. A weboldal egy részét elfoglalja, és abban fut az alkalmazás korlátozott jogokkal (mint a flash).
A Java Web Start egy olyan lehetőség, hogy JAR-ba csomagolt alkalmazást letölt a gépedre, és végrehajta azt, korlátozások nélkül. Ez nem a böngésző ablakában jelenik meg, hanem saját ablakban, mint teljes jogú windows alkalmazás.
A hiba abban áll, hogy nem ad fel figyelmeztető ablakot mielőtt futtatná a programot, és egy a gépen lokálisan vagy SMB share-en keresztül elérhető Java alkalmazást elindíthat így.
Ha nincs tűzfal, akkor az SMB-vel elvileg internetről is letölthetne egy káros Java alkalmazást. De ez a része buktatja meg a dolgot szerintem, gépen lévő tűzfal, otthoni router, vállalati tűzfal, internet szolgáltató, ha jól be vannak állítva, mind szűrik az SMB-t. Ki az aki még ma is "nyitott" géppel netezik?
Új hozzászólás Aktív témák
it A friss bejelentések szerint olyan alapvető biztonsági hiányosságokkal rendelkezik a Java, mely kritikus kockázatokat jelent.
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Ozeki Kft.
Város: Debrecen