In risposta alla decisione popolare nella disattivazione delle Java Web Apps , c'è stata pochissima menzione delle applicazioni XBAP .
Le applicazioni XBAP sono simili a Silverlight ma offre più opzioni allo sviluppatore da una prospettiva sandbox.
Le applicazioni XBAP dovrebbero essere considerate anche quando si disabilitano le app Web Java?
IE è l'unico browser di cui preoccuparsi?
XABP è documentato per funzionare anche su Firefox. Tuttavia, non sembra supportato da Chrome o da qualsiasi browser quando il sistema operativo sottostante è Linux.
XBAP tenta di applicare lo stesso modello delle applet Java, e questo è noto per essere un problema difficile, quindi ci si può aspettare una buona dose di vulnerabilità simili. Per esempio. come questo , che è recente (8 gennaio) e sembra spaventoso ( completo dirottamento del computer sfogliando una pagina Web malevola), ma, stranamente, non fa notizia, contrariamente ai buchi dell'applet Java. Penso che parli molto dell'attuale distribuzione di XBAP (praticamente nessuno lo usa, nemmeno potenziali aggressori).
In linea di principio, la preoccupazione sarebbe simile, anche se non conosco alcuna minaccia particolare che comprometta il contenitore XBAP. Java ha vulnerabilità di sicurezza ben più note, ma un compromesso della sandbox nel. CLR Netto sarebbe altrettanto dannoso come un compromesso nella sandbox della Java VM. Entrambi funzionano su sandbox in sistemi con funzionalità a livello di sistema disponibili se la sandbox è danneggiata. Questo è ciò che capisco dopo una rapida lettura su XBAP. (Anche se ho familiarità con .Net CLR, non avevo sentito parlare di XBAP prima di questa domanda.)
Aggiornamento basato sulla risposta di Thomas Pornin. Sembra che ci siano anche un discreto numero di exploit nella sandbox .Net. Quindi sì, problema molto simile impostato su Java.
Leggi altre domande sui tag java silverlight web-browser appsec threat-mitigation