Запрос файла.java.policy от угрозы безопасности URL

Question

Запрос файла.java.policy от угрозы безопасности URL

Мой клиент хочет использовать апплет для перетаскивания файлов из браузера. У нас все работает по большей части, но .java.policy файл, предоставляющий доступ к файловой системе апплета, должен быть загружен каждому клиенту, чтобы апплет имел разрешение на чтение / запись в файловую систему.

Мой технический партнер на клиенте только что провел некоторое исследование и хочет, чтобы я изучил инструментарий развертывания java (библиотека js, которая заботится о развертывании, а не использует HTML-теги). Он хочет, чтобы я посмотрел, могу ли я настроить апплет на использование файла политики, запрошенного с URL-адреса. Я не смог найти, как это сделать, чего я и ожидал, так как думаю, что это будет ужасная угроза безопасности.

Проблема в том, что они должны иметь возможность предоставлять апплету доступ к файловой системе для чтения / записи, но я чувствую, что запрос файла политики с URL-адреса - плохая идея, и мне нужна помощь, чтобы объяснить, почему.

Так что это мой вопрос: запрашивает .java.policy файл с URL даже возможно? Если так, разве это не страшный риск для безопасности?

0

java security applet policyfiles javapolicy

Источник

user762844 22 май '13 в 15:53

1 ответ

Решение

Другие вопросы по тегам java security applet policyfiles javapolicy

user418556 24 май '13 в 02:00 2013-05-24 02:00 · Accepted Answer · 2013-05-24 02:00

Так что это мой вопрос: запрашивает .java.policy файл с URL даже возможно?

Да, это так, но ни в коем случае не практично. Дело в том:

Файл политики должен находиться в определенном месте в локальной файловой системе, чтобы работать.
Любое Java-приложение. или апплет должен был бы доверять, чтобы поместить это там, или даже узнать, где правильное местоположение.

Приложение Java. нужны расширенные разрешения, чтобы иметь возможность импортировать файл политики туда, где он будет иметь влияние.
Если приложение Java. имеет разрешения на вставку файла политики, ему уже доверяют.

Если так, разве это не страшный риск для безопасности?

Да, это было бы.

Если этот апплет нуждается в доверии, подписать его цифровой подписью.

добавление

См. Java 7 Update 21 Улучшения безопасности в деталях для получения дополнительной информации. на постоянно ужесточающейся среде безопасности Java.

По-видимому, в будущем планируется, что JRE по умолчанию будет иметь максимальную безопасность. Это будет означать, что по умолчанию будут выполняться только классы в банке, имеющие цифровую подпись с сертификатом, выданным центром сертификации (например, Comodo $180/ год, Thawte $300/ год). Все остальное будет отклонено.