Question:
Pourquoi ai-je entendu parler de tant d'insécurités Java? Les autres langues sont-elles plus sûres?
gsingh2011
2014-05-09 22:39:24 UTC
view on stackexchange narkive permalink

J'aime beaucoup le langage de programmation Java, mais j'entends constamment dire à quel point il n'est pas sûr. Googler «java non sécurisé» ou «vulnérabilités java» fait apparaître plusieurs articles expliquant pourquoi vous devez désinstaller ou désactiver Java pour protéger votre ordinateur. Java publie souvent un grand nombre de correctifs de sécurité à la fois, et pourtant il reste encore des tonnes de vulnérabilités à corriger.

Je comprends qu'il y aura toujours des bogues dans les logiciels, mais la quantité de vulnérabilités que Java a Cela ne semble pas normal (ou est-ce que je l'imagine?). Ce qui est encore plus déroutant, c'est que s'il y a une seule décision architecturale qui crée ces vulnérabilités, pourquoi ne pas changer cette conception? Il existe des tonnes d'autres langages de programmation qui n'ont pas ce problème, il doit donc y avoir une meilleure façon de faire tout ce que Java fait mal. Alors pourquoi Java est-il toujours aussi peu sûr?

Je trouve vraiment injuste que certaines personnes prétendent que Java serait "non sécurisé" parce que son concept de sandbox a quelques défauts alors que la plupart des autres technologies n'ont même pas de sandbox et permettent aux programmes de faire pratiquement tout ce qu'ils veulent sur la machine sur laquelle ils fonctionnent. La critique n'est justifiée que dans le cas d'utilisation très restreint des applets exécutés dans un navigateur Web, où les alternatives comme Flash ont un bilan de sécurité tout aussi mauvais.
Votre question est similaire à la question "Pourquoi les voitures ont-elles encore des problèmes de moteur?". (Et pour ceux qui viennent de l'angle de "C (++) n'en a pas!", Ajoutez "Mon vélo n'en a jamais!")
Parce qu'il a été victime d'intimidation dans son enfance.
Java a eu relativement * peu * de vulnérabilités de sécurité pour un langage de programmation à part entière capable de fonctionner dans un navigateur (la plupart des autres langages compatibles avec les navigateurs ne sont, par conception, pas capables de faire certaines choses). - Les vulnérabilités dont vous avez récemment entendu parler sont des applications entièrement malveillantes (lire Applets) qui trouvent un moyen de sortir du bac à sable et d'exécuter du code arbitraire sur votre système. Il pourrait y avoir un argument selon lequel les applets font partie de java qui devrait être mis au repos, mais de nombreuses technologies en dépendent encore (consoles IMPI, sites Web bancaires, etc.).
@Philipp: Je ne pense pas du tout que ce soit injuste. Si un langage est présenté comme sandbox, mais que son sandbox a un historique de dizaines à centaines de vulnérabilités critiques chaque année, il est parfaitement juste de le condamner comme non sécurisé. La sécurité n'est pas une chose absolue mais une question de respect du contrat publié. Ce n'est peut-être pas juste de comparer Java et C ++, mais il est certainement juste de comparer Java et Lua. Si je ne me trompe pas, ce dernier n'a même pas passé les chiffres à un seul chiffre pour les vulnérabilités d'échappement du bac à sable.
@R .. Le sandboxing ne s'applique qu'à un contexte très restreint, et ce sont les applets java dans les navigateurs Web. Quand vous voulez dire que ce n'est pas sûr, je suis tout à fait d'accord. Mais comme vous pouvez le voir à partir de cette question, beaucoup de gens étendent cette critique à Java en général, qui couvre les cas d'utilisation où les problèmes de sandbox des applets n'ont pas du tout d'importance.
@R .. La comparaison entre Java et Lua n'est pas juste non plus, car Java est un langage à usage général avec [une énorme bibliothèque standard qui comprend tout sauf l'évier de cuisine] (http://docs.oracle.com/javase/8 /docs/api/allclasses-noframe.html) tandis que Lua a [une toute petite bibliothèque standard] (http://www.lua.org/manual/5.2/) et est censée être intégrée dans une application hôte qui ajoute un domaine -les liaisons de script spécifiques à lua qui peuvent ou non être sécurisées.
Mon opinion est que c'est parfaitement juste, car une énorme bibliothèque standard * implémentée en dehors du sandbox * empêche essentiellement la possibilité d'offrir un environnement sandbox sécurisé. C'est l'une des choses que Java a eu horriblement mal que Lua a eu raison.
Je conviens que "Java the language" reçoit beaucoup de publicité négative du fait que "Java the sandbox" est si cassé. Que ce soit "juste" ou non est une question de jugement, mais c'est une conséquence de la décision marketing de coupler étroitement les deux. Sur la plupart des systèmes, la simple installation de Java (à quelque fin que ce soit) installe également des composants de navigateur qui exposent le système à des vulnérabilités distantes critiques si le navigateur est utilisé, il est donc juste de dire que le simple fait d'installer Java, à moins que vous n'ayez fait tout votre possible pour bloquer son utilisation dans le navigateur, est un problème de sécurité.
@R .. Une entreprise pour laquelle je travaillais utilisait LotusNotes uniquement parce que peu de gens l'utilisaient et donc les failles de sécurité qu'il avait certainement (comme tout) sont restées non détectées. J'ai peur que Java soit du côté opposé. Toute faille qu'il a ** sera ** découverte, ne signifie pas que d'autres choses moins utilisées sont plus sûres, il y a juste moins de gens qui essaient de les casser
@R .. "il est certainement juste de comparer Java et Lua. Si je ne me trompe pas, ce dernier n'a même pas passé les chiffres à un seul chiffre pour les vulnérabilités d'échappement de sandbox." Par cet argument, nous devrions vraiment tous utiliser PostScript, car il a encore moins de vulnérabilités. (PostScript _does_ en fait offre du sandboxing, et s'il est correctement configuré peut vous permettre d'exécuter du code hostile en toute impunité, FYI) (Si vous ne comprenez pas tout à fait ce que je dis, c'est que Java a plus de vulnérabilités _discovered_ car Java est utilisé _far plus souvent_ que Lua.)
En fait, PostScript a historiquement pas mal de vulnérabilités, en particulier lorsque vous considérez l'environnement dans lequel il est censé être utilisé. Et tout langage Turing-complet est une vulnérabilité DoS dans le contexte de ce à quoi PostScript est destiné (documents), en particulier lorsque vous êtes l'exécuter sur des microcontrôleurs 1 MHz à l'intérieur des imprimantes.
Quant à Java vs Lua, ce n'est pas une question de combien ils sont utilisés. C'est une question de design. Lua a un petit nombre de points d'échec potentiel (l'un d'entre eux était idiot: permettre au code Lua d'alimenter le bytecode directement sur la machine virtuelle). Java a un nombre astronomique.
Evidemment pour les hackers (chapeau blanc), enquêter sur les vulnes Java est plus intéressant que dans les autres langages, c'est comme ce que Windows est pour les autres systèmes d'exploitation.
Peut-être pourriez-vous clarifier le contexte de votre déclaration. Il semble que vous déclarez que vous pensez que le code Java devra peut-être être corrigé et que les responsables du logiciel ne font pas un travail assez bon? Chaque application aura son propre type de code applicable à implémenter, il faut donc éviter de s'appuyer sur un seul ensemble de pratiques de codage. Je parie que les applications Java côté client passeront par Flash et disparaîtront bientôt.
Hah, parlez d'injustice: nous développons un [navigateur en Java] (https://github.com/UprootLabs/gngr), et les gens le confondent avec des applets, ou l'associent à Java qu'ils confondent avec des applets, ou ils l'associent le sandbox du gestionnaire de sécurité avec le sandbox d'applet plus spécifique ... et ainsi de suite.
Sept réponses:
Steffen Ullrich
2014-05-09 23:24:59 UTC
view on stackexchange narkive permalink

Si vous utilisez Java comme la plupart des autres langages de programmation, par exemple pour écrire des applications autonomes, il n'est pas moins sécurisé que d'autres langages et plus sécurisé que C ou C ++ en raison de l'absence de débordement de tampon etc.

Mais Java est régulièrement utilisé comme plugin dans le navigateur Web, par exemple similaire à Flash. Parce que dans ce cas, l'utilisateur exécute du code non approuvé sans l'avoir explicitement installé, l'idée est de faire exécuter le code dans un bac à sable limité, où il ne devrait pas être en mesure d'agir d'une manière ou d'une autre contre le système ou l'utilisateur (par exemple, lire les fichiers locaux et envoyer sur le site Web, scannez le réseau local, etc.). Et c'est là que Java a échoué ces dernières années, par exemple de nouveaux bogues surgissaient parfois quotidiennement, ce qui permettait de s'échapper du bac à sable.

De plus, des bogues dans l'interpréteur de code d'octet ou dans les bibliothèques natives entraînaient des débordements de tampon et pouvaient compromettre le système, mais à cet égard Flash est généralement considérée comme pire.

Et comme pour les autres langages étant meilleurs: ceux-ci ne peuvent généralement même pas fonctionner en tant que code non approuvé dans un bac à sable (l'exception est JavaScript et peut-être Flash), ils seraient donc encore pires car il n'y a pas de moyen inhérent pour limiter leur interaction avec le système.

Les applications Java de serveur et de bureau ont donc moins de vulnérabilités que les applets Java?
Oui, le problème de sécurité majeur n'est que le bac à sable.
Pas de stackoverflow? J'en ai accidentellement déclenché un juste aujourd'hui avec une récursion infinie. Vouliez-vous dire un débordement de tampon?
Oui, je veux dire des débordements de tampon. Merci d'avoir corrigé. Et vous pouvez toujours les obtenir mais pas aussi omniprésents qu'en C, C ++.
Java sur le serveur permet à Oracle de vendre des licences de base de données, etc., mais les applets Java n’ont pas de sens pour l’activité d’Oracle.
@IanRingrose Je ne suis pas d'accord. Oracle n'est pas tenu par les actionnaires d'effectuer plus qu'une maintenance minimale, mais jusqu'à présent, ils semblent avoir pris les vulnérabilités assez au sérieux. Comme indiqué, les vulnérabilités se reflètent sur l'ensemble du système et les applications et applets Webapp sont généralement sauvegardés par des applications serveur en Java. En général, je ne pense pas que rien n'indique qu'Oracle ne prenne pas ces échecs au sérieux. Sachez également que les développeurs eux-mêmes ont souvent un fort sentiment de responsabilité, quelle que soit l'entreprise elle-même. Les déclarations noir / blanc sont inutiles ici.
@Lekensteyn Les spécifications du langage Java exigent que les implémentations détectent les débordements de pile et lèvent une exception. En C / C ++, c'est juste un comportement indéfini avec tout ce que cela implique. Donc, dans une certaine mesure, les «débordements de pile» fonctionnent toujours aussi bien là-bas.
@SteffenUllrich à élaborer - c'est parce que le bac à sable tente de contenir / limiter les capacités d'un langage de programmation à part entière. Contrairement à certains des autres langages activés pour les navigateurs qui ont été conçus initialement sans certaines capacités (c'est-à-dire peu importe si vous sortez du bac à sable parce que vous ne pouvez toujours pas faire certaines choses). Tant qu'un langage de programmation à part entière est exécuté dans votre navigateur, il y aura une possibilité qu'il fasse des choses sur votre système local. Les applets Java sont encore très puissantes aujourd'hui (consoles IMPI, etc.).
Votre équation des applets Java et JavaScript est fausse. JavaScript est une fonctionnalité intrinsèque du navigateur, et Java nécessite un plugin explicite et installé séparément. Un exploit JavaScript dans un navigateur n'est pas le même que l'autre, mais un exploit d'applet fonctionne * partout * car le plugin est le même * partout *. De plus, JavaScript n'est pas conçu pour fournir des fonctionnalités du système d'exploitation dans la plupart des navigateurs et peut être mis en bac à sable de différentes manières (empêchant l'exécution de code natif). Il vaut mieux assimiler Java et Flash.
*** Gros gémissement *** concernant le "par exemple similaire à JavaScript". Les mettre simplement dans la même phrase prie pour la confusion; ils ne se ressemblent vraiment pas et JS ne fonctionne vraiment pas comme un plugin. Je viens de lire tous les commentaires maintenant ... Ce que @DCKing a dit.
@DCKing: Javascript n'est en fait pas aussi intrinsèque au navigateur que vous pourriez le penser; Les interpréteurs Javascript comme Rhino, SpiderMonkey et V8 peuvent en fait fonctionner indépendamment du navigateur auquel ils sont normalement attachés. Il existe une sorte d'interface de plugin entre l'application hôte (pas nécessairement un navigateur) et tous ces moteurs Javascript populaires.
@LieRyan C'est argumenter la sémantique. Chaque navigateur principal utilise une implémentation JavaScript différente et les attaquants ont besoin de vulnérabilités différentes pour chacun d'eux. Les plugins sont les mêmes partout. C'est le but.
meriton
2014-05-10 16:48:48 UTC
view on stackexchange narkive permalink

Les vulnérabilités de sécurité signalées ne concernent pas Java (le langage de programmation), qui, en vertu de la sécurité de la mémoire de la JVM, est en fait plus robuste que les langages tels que C ou C ++, où la mémoire tampon déborde et les surcharges de mémoire tampon restent une menace, et peuvent entraîner des dégâts comme Heartbleed.

Au lieu de cela, les vulnérabilités signalées se trouvent dans le Java Sandbox, qui tente d'appliquer un modèle de privilèges qui permet une exécution sûre du code non approuvé, et est surtout utilisé pour permettre l'exécution automatique des applets Java dans un navigateur. Ce bac à sable est criblé de trous. De plus, Oracle ne publie des correctifs (les «mises à jour critiques de correctifs») que 4 fois par an. Inutile de dire que les fournisseurs de navigateurs ne sont pas satisfaits de cela. Firefox, par exemple, requiert l'autorisation de l'utilisateur pour lancer une applet Java depuis Firefox 26.

La raison pour laquelle les rapports de presse ne font pas cette distinction est qu'Oracle utilise le "Java" marque déposée à la fois pour le langage de programmation et le plugin de navigateur qui exécute les applets. En fait, si un utilisateur ordinaire rencontre la marque Java, il fait probablement référence à cette dernière.

Il est quelque peu spéculatif pourquoi exactement le Sandbox reste vulnérable. Si vous me demandez, une des raisons est que la même API est utilisée avec et sans Sandbox, et la plupart du code Java s'exécute sans Sandbox (car le code est approuvé). En conséquence, il est tout à fait possible pour un développeur d'oublier cette fonctionnalité obscure lors de la modification de l'API Java ou de son implémentation, en exposant accidentellement des éléments qui devraient être protégés (pour illustrer à quel point cela est facile, voyez les longues Consignes de codage sécurisé pour Java SE). Une autre raison, mais liée, est la taille de l'API Java ( 5800 classes, et près de 50 000 méthodes, pour Java SE 6).

À mon humble avis, c'est la meilleure réponse, car elle touche à la complexité de la sécurisation d'une API qui essaie de tout faire. Une version entièrement murée de Java pour les applets (sans IO) apporterait beaucoup de soulagement, mais l'API actuelle est tout simplement trop étroitement couplée pour cela.
Seul bœuf que j'ai avec cette réponse est que 1) Heartbleed n'était * pas * le résultat d'une attaque de débordement de tampon. 2) Vous ne pouvez pas non plus dire qu'un langage couplé à une machine virtuelle est «meilleur» qu'un autre langage en soi, pour des raisons évidentes. Autre que cela, bonne note sur les vrais trous dans ce bac à sable, un langage de programmation n'est pas plus `` sûr '' ou `` dangereux '' qu'un langage humain, tout se résume à un compilateur ou un interprète, et * le plus * important: Le personne * utilisant * la langue.
1) Ok, selon Wikipedia, Heartbleed était un buffer over-read plutôt qu'un buffer overflow, car l'accès au-delà de la longueur du buffer était un accès en lecture plutôt qu'en écriture. Fixera la terminologie. 2) Je pense que c'est une comparaison valable, comme la spécification Java ** Language ** [mandats] (http://docs.oracle.com/javase/specs/jls/se8/html/jls-15.html#jls -15.10.4) que l'environnement d'exécution effectue cette vérification. En Java, la sécurité de la mémoire est une fonctionnalité du langage. En C ou C ++, ce n'est pas le cas.
dimo414
2014-05-11 00:55:51 UTC
view on stackexchange narkive permalink

Il y a des tonnes d'autres langages de programmation qui n'ont pas ce problème, il doit donc y avoir une meilleure façon de faire tout ce que Java fait mal.

C'est un joli haute revendication, où avez-vous eu cette impression? Il y a "des tonnes d'autres langages de programmation" qui n'ont pas été soumis au même rythme que Java, ou qui sont utilisés de manière omniprésente.

En principe, la raison pour laquelle il y a tant de correctifs de sécurité est conçu pour être sécurisé, avec un certain nombre de fonctionnalités axées sur la sécurité que d'autres langages n'ont pas.

L'environnement du langage Java

1.2.2 Robuste et sécurisé

La technologie Java est conçue pour fonctionner dans des environnements distribués, ce qui signifie que la sécurité est d'une importance primordiale. Avec des fonctionnalités de sécurité intégrées au langage et au système d'exécution, la technologie Java vous permet de créer des applications qui ne peuvent pas être envahies de l'extérieur. Dans l'environnement réseau, les applications écrites dans le langage de programmation Java sont protégées contre les intrusions par du code non autorisé tentant de pénétrer dans les coulisses et de créer des virus ou d'envahir les systèmes de fichiers.

Si vous n'incluez pas «soyez en sécurité» dans les spécifications de votre langage de programmation, vous aurez rarement à publier des correctifs de sécurité. Si, au contraire, c'est l'un de vos objectifs déclarés, vous aurez du mal à ne pas le faire .

Thomas Pornin
2014-05-16 20:43:43 UTC
view on stackexchange narkive permalink

By itself, Java has great assets for security, namely its inherent resistance to buffer overflows and memory management errors:

  • All array accesses are checked with regards to allocated array length. Buffer overflows are thus reliably trapped, and trigger an exception, which is better (this turns remote code execution vulnerabilities into mere denial-of-service).

  • Memory allocation is managed through a garbage collector, which prevents use-after-free and double-free errors. Also, the GC allows for an easier handling of character strings (strings are immutable in Java), which removes most occasions for buffer overflow bugs.

  • Strict typing is enforced; code cannot access data bytes for what they are not. This again prevents vulnerabilities (bugs where data types are transgressed will be reported at compilation or, at worst, as a runtime ClassCastException).

This makes Java much stronger than many programming languages (in particular the infernal couple C/C++) when it comes to security.

However, the Java designers tried to leverage this enhanced security to make something hard, i.e. applets. The problem is attack surface: since the applet is potentially hostile code, everything it does must be controlled. But the hostile code must be able to use the "standard Java classes" if it is to do anything, so "control points" must be enforced on every single standard Java class. The attack surface thus consists of hundreds of classes containing thousands of methods, and all of them must enforce adequate checks.

The Java designers sinned by ambition: the difficulty of implementing thousands of checks without botching any was much higher than what they imagined. All the "Java bugs" come from this fact.

We can compare Java with Javascript here; for instance, Java allows access to files on disks, but this right must not be granted to applets, except if the applet asked for it and the user agrees (which entails the whole applet signing business). Javascript, less ambitious, simply lacks any file access method: access controls on a function cannot be implemented improperly if the function does not actually exist !

To sum up: Java is fine and secure. Java applets imply a huge attack surface whose security is very hard to ensure. For stand-alone applications and servers, though, using Java is a good idea if you want security (this equally applies to C#).

Nitpick: Cela ressemble plus à des milliers de classes et à des dizaines de milliers de méthodes. Autre que cela: Excellente réponse!
Kasun
2014-05-10 01:53:36 UTC
view on stackexchange narkive permalink

De nos jours, trouver davantage de vulnérabilités n'implique peut-être pas le degré d'insécurité du logiciel. Le problème est de savoir comment l'équipe d'intervention en matière de sécurité de chaque éditeur de logiciels y réagit et à quelle vitesse les correctifs sont publiés.

Il suffit de vérifier à quelle vitesse Firefox et Chrome sont corrigés. De nombreuses vulnérabilités y sont également trouvées et résolues.

Si je me souviens bien, Oracle a un programme appelé Critical Patch Updates (CPU) qui donne de nombreux correctifs chaque trimestre. Ils publient également des correctifs sans CPU s'il existe une vulnérabilité zero-day. Mais le problème est le temps pris par Oracle pour publier un correctif.

Je suis d'accord avec la première phrase. Ne pas * trouver * de failles de sécurité dans d'autres logiciels ne signifie pas qu'il n'y en a pas - les gens regardent-ils (d'aussi près)?
John
2014-05-14 06:58:17 UTC
view on stackexchange narkive permalink

Peur surestimée .. Java lui-même va bien; les problèmes se produisent avec les applets Java à l'ancienne fonctionnant dans les navigateurs Web, mais je doute que quiconque crée réellement des applets plus - la plupart des maisons de développement ont utilisé Flash ou HTML4 / 5 pour les interfaces Web frontales pendant au moins 10 ans. p>

De nos jours, Java est principalement utilisé pour le backend JEE, les clients d'interface graphique frontale (JFX / AWT / SWING), les applications de console et les applications mobiles - il n'y a donc aucun problème.

SSpoke
2014-05-11 08:07:39 UTC
view on stackexchange narkive permalink

La réponse est assez évidente. Pouvez-vous supprimer vos fichiers informatiques en utilisant JavaScript, HTML ou Flash? Non, vous ne pouvez pas.

Et Java. Pouvez-vous supprimer tous vos fichiers, effacer complètement votre disque dur à l'aide d'une applet Java (hébergée sur un site Web)? La réponse est oui, si vous acceptez d'exécuter l'applet. Contrairement à toute autre langue de navigateur Web.

Java a la capacité de faire des choses comme exécuter des programmes sur votre ordinateur (exécutables) et a également la capacité d'écrire, de mettre à jour ou de supprimer des fichiers sur votre disque dur.

De plus, Java les applets ne sont pas détectables par les antivirus: dans la plupart des cas, vous ne saurez même pas que cela a gâché votre ordinateur. Certains scanners peuvent détecter que quelque chose tente de supprimer des fichiers dans un répertoire restreint: l'un que je connais est Kaspersky, mais la plupart des gens ont cette fonctionnalité désactivée par défaut.

Les applets Java peuvent faire des choses telles que mettre à jour les fichiers Windows, comme HAL.dll , ce qui empêchera votre ordinateur de démarrer. Il peut tout faire sur votre ordinateur lorsque vous acceptez d'exécuter l'applet.

Dans certains cas, peu importe si une applet Java est signée ou non signée - elle téléchargera toujours des fichiers sur votre ordinateur.

Sans oublier que Java est très populaire.

Il y en a un autre qui gagne en popularité, appelé Unity Engine (similaire à Flash): il a le même problèmes de sécurité comme Java et pourrait faire n'importe quoi à votre ordinateur. La seule différence entre Unity Engine et Java est qu'Unity s'exécute sans vous demander si vous souhaitez l'exécuter ou non. Donc, si quelqu'un a installé Unity Player et exécute un jeu contenant un virus, cela endommagera votre ordinateur.

Moins populaire, mais potentiellement extrêmement dangereux, est VBScript. Je crois que Microsoft Internet Explorer est le seul qui prend en charge cela actuellement, mais je peux me tromper. Il a les mêmes capacités que Java.

"La réponse est assez évidente. Pouvez-vous supprimer vos fichiers informatiques en utilisant JavaScript, HTML ou Flash?" Oui je peux. Tout ce dont j'ai besoin est un exploit suffisant dans le moteur JavaScript ou le plugin Flash.
De nombreux facteurs impliqués, vous devez cibler une version spécifique de Flash et JavaScript semble que chaque navigateur utilise son propre moteur pour cela, oui, vous pourrez peut-être cibler un certain pourcentage après tout, mais les chances sont minces que la personne qui s'inquiète soit affectée, avec une langue qui fait cela sans pirater le code, juste un programmeur ordinaire peut le faire sans problème avec Java / Unity, etc. Rien ne me fait plus chier que les petits enfants qui essaient de me baiser avec des enregistreurs de frappe. Haha
Les applets Java sont généralement également protégées contre des scénarios tels que la possibilité d'effacer votre système de fichiers - vous devez d'abord éviter le bac à sable qui vous oblige également à cibler des versions spécifiques et zéro jour. De ce point de vue, les plugins Java et Flash sont plus ou moins dans le même bateau.
Flash a également eu sa juste part d'exploits. Avec n'importe quel langage "interprété" par un moteur natif et présentant des bogues de programmation (Java, Flash sont les exemples prédominants), il est possible d'échapper au bac à sable qu'ils ont construit et d'affecter le système hôte, voire d'injecter du code natif qui peut alors exploiter un bogue d’escalade de privilèges de l’hôte.
"La réponse est oui, si vous acceptez d'exécuter l'applet."C'est complètement faux si nous parlons d'Applets (et nous le sommes, sinon, tous les paris sont ouverts et j'espère que vous savez ce que vous avez installé sur l'ordinateur "nominalement votre").Voir: [Autorisations dans le kit de développement Java (JDK)] (http://docs.oracle.com/javase/7/docs/technotes/guides/security/permissions.html)


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...