我能信任SecurityManager沙箱吗?
我能信任SecurityManager沙箱吗?
提问于 2013-09-28 12:50:13
我正在编写一个JavaFX2应用程序,它接受要从远程位置加载的任意代码。对我来说,使用自定义的SecurityManager、ClassLoader和ProtectionDomain是可行的。不幸的是,这似乎是与沙箱小程序相同的设置,它造成了大量的安全漏洞,进而说服人们害怕Java插件并将其从操作系统中完全删除。
Java沙箱是运行不可信代码的安全环境,还是只是整个Java插件不安全?
回答 1
Stack Overflow用户
回答已采纳
发布于 2013-09-28 14:50:12
安全管理器提供您的应用程序。与它提供的插件一样多的保护。考虑到安全漏洞,这是“不多”。
它目前插入了已知的安全漏洞(AFAIU)。但是,与任何复杂的插件一样,可能还有更多的插件有待发现,或者可能在新版本或新API中引入。
因此,基本上,您的代码应该超出标准的安全管理器,将整个包黑名单,并(如果需要的话)提供实用方法来执行通常由该包处理的活动。
但是,这个建议是20+点列表中的第一点,我可能会说出应用程序可能出现的2到3件事情。在运行不受信任的代码时,可能需要防范。虽然这不是问题。
Java沙箱是运行不可信代码的安全环境吗..。
不是的。Java安全性可能为针对不受信任的代码的安全性提供了一个很好的起点,但它需要针对应用程序进行扩展,并具有其他元素以适应所需的任务。即使如此,仍有“未知的安全漏洞”(无论是在JRE中还是在您自己的安全工作中)都需要考虑。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/19067161
复制相关文章
相似问题
腾讯云开发者
