Java 安全编程
(Bad Examples found in JDK)
Marc Schönefeld, University of
Bamberg
Illegalaccess.org
关于演讲者
Marc Schönefeld, Diplom-Wirtschaftsinformatiker
For Science: External doctoral student @ Lehrstuhlfür
praktischeInformatikat University of Bamberg, Bavaria,
Germany
课题项目:
REFACTORING OF SECURITY ANTIPATTERNS IN
DISTRIBUTED JAVA COMPONENTS
For Living: Department for Operational Security Management
at computing site for large financial group in Germany
Java, J2EE, CORBA [CSMR 2002]
设计和开发
安全加固 (代码审核)
情形
Java (我们这里讨论适用于J2SE,一些方面也适用于J2EE)
被设计成一种具有与生俱来安全特性的编程语言 [Gong, Oaks]
JVM 级: 类型安全(Type Safety), 字节码完整性检测(Bytecode
integrity checks)
API 级: SecurityManager, ClassLoader, CertPath, JAAS
加密支持: JCA/JCE, JSSE
所以,什么会是问题呢?
一些2003/2004年的 Java 安全警告
Java 运行时环境(Runtime Environment)可能允许非受信
Applets 提升权限
Java Media Framework (JMF)中的一个漏洞,可能导致Java 虚拟
机(JVM) 崩溃
…Java Runtime Environment 远程拒绝服务攻击漏洞 (DoS) …
尽管存在JAVA安全体系的先天防护,还是有许多潜在的攻击可能性
…
是什么原因导致的呢?
FL2
FL3
幻灯片
4
FL2
警告
Flier Lu, 2005-8-16
FL3
不被信任
Flier Lu, 2005-8-16