我正在编写一个 JavaFX2 应用程序,它接受从远程位置加载的任意代码。对我来说,使用自定义 SecurityManager、ClassLoader 和 ProtectionDomain 是最佳选择。不幸的是,这似乎与用于沙箱小程序的设置相同,这导致了许多安全漏洞,反过来又让人们害怕 Java Web 插件并将其从操作系统中完全删除。
Java 沙箱是一个可以运行不受信任的代码的安全环境,还是只是 Java Web 插件整体不安全?
安全管理器提供您的应用程序。提供与插件一样多的保护。考虑到安全漏洞,这“不多”。
目前它修复了已知的安全漏洞 (AFAIU)。但与任何复杂的插件一样,可能还有更多插件有待发现,或者可能在新版本或新 API 中引入。
因此,基本上,您的代码应该在某种程度上超出标准安全管理器的范围,将整个包列入黑名单,并(如果需要)提供实用程序方法来执行通常由该包处理的活动。
但是,这个建议是 20 多个点列表中的第一点,我可以将其中的 2 或 3 个可能的东西命名为应用程序。可能需要防范运行不受信任的代码。虽然这不是问题..
Java 沙箱是一个运行不受信任代码的安全环境吗?
不。Java 安全性可能为针对不受信任代码的安全性提供了一个良好的起点,但它需要特定于应用程序进行扩展,并且需要具有其他元素才能适合所需的任务。即使如此,仍然需要考虑“未知的安全错误”(JRE 以及您自己的安全工作中)。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)