Sicurezza della visualizzazione di un sito Web contenente applet Java offline

4

Mi sono chiesto se visualizzare un sito web offline aumenti il rischio per la sicurezza.

Il motivo per cui sto chiedendo è che essendo stato uno sviluppatore di applet java di breve durata (per una piccola attività) sono venuto a sapere che un'applet java proveniente dal file system locale ha più privilegi (come l'accesso al locale file system) rispetto a quello che viene da internet. In realtà non so quanto questo principio sia generale e se i siti web che provengono dal tuo disco rigido siano considerati affidabili.

Dovrei essere preoccupato per un'applet canaglia che arriva con un sito web che ho scaricato per la visualizzazione offline e che presenta un rischio per la sicurezza? Come sono le cose con javascript, ad esempio, anche le restrizioni sono rilassate?

    
posta enobayram 08.05.2013 - 20:28
fonte

2 risposte

4

A quanto ho capito, un applet Java non attendibile eseguito nel browser sarà in modalità sandbox, quindi non credo che avrà più accesso al tuo sistema se lo scarichi e lo esegui nel tuo browser localmente che se lo si esegue dal server di origine o dalla cache del browser, almeno in base alla progettazione.

Tuttavia, dovresti preoccuparti delle applet Java, punto. Il numero di vulnerabilità scoperte nel JRE negli ultimi anni è assolutamente sbalorditivo. È altamente sconsigliabile consentire a Java di funzionare nel browser, quindi suggerirei di non voler eseguire applet non sicure in nessuna condizione.

    
risposta data 08.05.2013 - 20:40
fonte
1

Che si tratti di Java, JavaScript o qualsiasi altra cosa, in genere si tratta dello stesso criterio di origine che consente a una pagina di essere composta da più di un file. Quindi c'è accesso in lettura in corso lì. Anche con l'HTML senza script potresti essere in grado di estrarre alcune informazioni sulle dimensioni dell'immagine e sul fatto che i file esistano. Alcuni browser daranno pochi avvisi durante il download di file HTML.

    
risposta data 09.05.2013 - 10:31
fonte

Leggi altre domande sui tag