Firma non fidata su app java per il download di youtube, dannoso?

Per scaricare un video di YouTube, è necessario stabilire una connessione a YouTube che si maschera come video player basato su Flash. Flash ha alcuni controlli di sicurezza che ti impediscono di farlo da un altro file Flash che non è il loro lettore video, e le connessioni da XMLHttpRequest, WebSocket, semplici applet Java e Silverlight sono deliberatamente limitate in modo da impedire il corretto tipo di connessione .

Quindi per scaricare correttamente un video, devi essere in grado di stabilire una connessione di rete arbitraria. Questo è qualcosa che può fare solo un'applicazione nativa completa, o un'applicazione Java con permessi simili. Questo significa che ci sono due modi per fornire un servizio di download di YouTube:

1. effettua connessioni dal software sul tuo server per scaricare il video;

2. fornisce all'utente un'app nativa o un'app Java con licenza simile per farlo dal proprio desktop.

Alcuni servizi hanno fornito (1) in passato, ma è abbastanza ovvio per YouTube che qualcosa è successo quando arrivano molte connessioni con un profilo di visualizzazione atipico da una piccola gamma di indirizzi IP. Questi servizi tendono a essere bloccati.

Quindi la maggior parte dei siti utilizza attualmente download di app native e app Java. Nel caso Java ciò significa che è necessario concedere le autorizzazioni appropriate dell'applet prima che venga eseguito. Non c'è alcuna garanzia che non ci sia malware (molto probabilmente: una barra degli strumenti pay-per-installazione) nell'applet, quindi questo è esattamente pericoloso quanto scaricare ed eseguire un file .EXE.

Fino a te se pensi che gestirlo sia un'opportunità che vale la pena prendere. Ho sempre provato queste cose da una VM scratch, per quello che vale.

Il messaggio che si lamenta della firma digitale è incidentale. Una richiesta di elevazione da un'applet debitamente firmata che non ha questo avvertimento, potrebbe avere il malware che si nasconde dietro di esso allo stesso modo. Tutta la firma significherebbe che tu sai chi dare la colpa dopo essere stato infettato. Molti siti utilizzano applet non firmati perché la firma del codice / timestamp per Java è storicamente un po 'difficile.

Beh, non c'è modo di saperlo di sicuro senza esaminare l'applicazione ... Anche se sembra incredibilmente sospetto.

Questo messaggio ti informa che il tuo browser sta tentando di avviare un'applet in modalità trusted, il che significa che il codice Java avrà il pieno controllo del tuo sistema. Probabilmente non dovresti accettare, a meno che tu non conosca (e abbia fiducia) l'editore.

... Che è esattamente quello che dice l'avvertimento.

Il messaggio non dice nulla se l'applet è nociva o meno. Le applet Java, per impostazione predefinita, sono severamente limitate in ciò che possono fare, in particolare su quali host esterni possono connettersi. Questo è così che le applet Java possono essere considerate innocue, come in "declawed".

Un'applet potrebbe richiedere i privilegi estesi, ma la JVM li concederà solo se l'applet è firmata . Inoltre, se la chiave di firma non fa parte di un certificato digitale che si collega ai certificati radice che la JVM conosce intrinsecamente, allora mostrerà il messaggio che vedi.

Quindi il messaggio significa che:

• l'applet è firmata, quindi probabilmente vorrebbe eseguire alcune operazioni a cui non è consentito l'utilizzo di un'applet Java non firmata;
• lo sviluppatore dell'applet non si è preoccupato di acquistare un certificato da $ 100 che sarebbe stato accettato ciecamente dalla JVM (se lo sviluppatore fosse povero, pigro o volesse rimanere anonimo, non viene detto);
• se fai clic su "Esegui", l'applet potrebbe potenzialmente eseguire qualunque codice desideri sul tuo computer.

Quindi è come se un individuo mascherato bussasse alla tua porta e ti chiedesse molto gentilmente di dargli una copia delle chiavi della tua porta. Questo non significa automaticamente che il suddetto individuo ha in mente un furto - forse è l'Idraulico mascherato, che ha fatto un giuramento per fissare gratuitamente rubinetti di cittadini ordinari - ma si potrebbe avere diritto a sentirsi un po 'sospettosi sul procedimento. Se fai clic su "Esegui", sei da solo e sei stato avvisato.

Affinché un'applet possa accedere al file system locale (e più autorizzazioni), deve essere firmata e le impostazioni di sicurezza Java devono essere su Media (livello minimo). Quando viene firmata un'applet, viene visualizzata una finestra di questo tipo che chiede le autorizzazioni. Le applet certificate (Virus - Free di sicuro) funzionano anche con il livello di sicurezza più alto.