اعتبارات الأمان عند استضافة الجرار وقعت
https://stackoverflow.com/questions/318781
-
11-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ما هي التداعيات الأمنية لاستضافة الجرار وقعت على شبكة الانترنت؟
وكما فهمت توقيع جرة، مرة واحدة للمستخدم أن يختار لصناعة السيارات في قبول الشهادة، لا يهم إذا جاءت جرة موقعة من المجال الخاص بك، وترتبط من مجال آخر أو استضافتها على مجال آخر. على سبيل المثال، يستخدم أحد هذه الطريقة لإعطاء التطبيقات دعم برنامج OpenGL، من خلال توفير (استضافت) جرة وقع التي تصل إلى السائق. لذلك هل هناك أي احتياطات أنني يجب أن نجعل والمطور وشهادة في الموقع من جافا رمز I جعل المتاحة؟
المحلول
واعتمادا على السياق، كنت تعتمد على مدير الأمن والسياسة الأمنية المرتبطة فعل الشيء الصحيح. عموما إلا إذا كنت تفعل بك classloader السحر الخاص، يجب أن لا تحتاج إلى القيام بأي شيء خاص. إذا كان لديك السيطرة على السياسة الأمنية، (على سبيل المثال في تطبيق جافا وليس الصغير) يمكنك منح أذونات للاتصال الجرار الخاص بك فقط لرمز آخر معين. إذا كنت تعتمد على مصدر برنامج للتمييز الرمز، وURL الشبكي هو أفضل. بل هو أيضا أي ضرر لتقييد الوصول إلى الجرار على خادم الويب إذا كنت تعرف أين / الذي المداخل يجب أن تكون قادمة من، ولكن ربما يكون أكثر صعوبة مما يستحق.
ولكن، يجب أن نضع في اعتبارنا دائما أن المتصل من API الخاصة بك قد لا تكون التعليمات البرمجية الخاصة بك، ويمكن أن تكون ضارة. حتى في النمذجة التهديد، يجب عليك التفكير في ما قد يكون لمستخدم ضار قادرا على القيام به إذا كان لديهم بطريقة ما الحصول على وظيفة التي قدمها API يعرض التعليمات البرمجية. ومن المفترض أن مدير الأمن لفحص مكدس الاستدعاءات لمنع هذا النوع من الشيء. ولكن على سبيل المثال إذا جرتك وقعت لديها LaunchMissiles طريقة () ... قد تريد أن تطلب من المستخدم اذا كانوا على يقين على أي حال. وكنت قد ترغب في مصادقة المستخدم أيضا.
وكما يجب أن تعتمد بالضرورة على المستخدم النقر على الزر الأيمن على أي تحذير الأمان، لا سيما إذا كان يشير إلى الشهادات وعناوين المواقع وغيرها - تقع معظم المستخدمين في واحدة من فئتين: أولئك الذين انقر فوق موافق على أي تحذير لأنهم دون 'ر فهمه، وأولئك الذين فوق إلغاء الأمر على أي تحذير لأنهم لا يفهمون ذلك.
