Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Java 7 biztonsági újdonságok

2012.12.28. 20:42 | buherator | 1 komment

Nem rég megjelent a JDK 7u10, ami hasznos biztonsági beállítási lehetőségekkel gazdagította a Java vezérlőpultját. A felhasználók ezen túl egy négy fokozatú biztonsági szint beállításával globálisan meghatározhatják, hogy a virtuális gép milyen appleteket indítson el automatikusan.

  • Alacsony biztonsági szinten majdnem minden applet automatikusan lefut, kivéve azokat, melyek nincsenek aláírva és elavult Java verziót, vagy sandboxból kimutató jogokat igényelnek
  • Közepes szinten - és ez az alapértelmezett - az aláíratlan appletek engedélyt kérnek a futásra, ha az aktuális Java verzió "nem biztonságos" (vagyis a futó főverzióra meghatározott security baseline-nál korábbi)
  • Magas szinten minden aláíratlan applet futását engedélyezni kell
  • Nagyon magas szinten minden applet engedélyt kér, aláíratlan appletek pedig nem futnak, ha a Java verzió nem biztonságos

A beállítás a futtatókörnyezet szintjén hat, vagyis az összes telepített böngésző beépülőre hatással lesz. Látható, hogy az Oracle nagy jelentőséget tulajdonít a kisalkalmazások aláírásainak, de tartsuk észben, hogy attól, hogy tudjuk, hogy egy program kitől származik, még nem lehetünk benne biztosak, hogy az illető jót akar nekünk (vagy hogy nem kompromittálódott a privát kulcsa). Másrészt az aktuális security baseline információ nem biztos, hogy minden pillanatban rendelkezésre áll, vagy időben frissül, így én a legmagasabb biztonsági szint belövését ajánlom. 

Aki eddig nem állt át Java 7-re, az jó lesz ha siet, a Java 6 ugyanis jövő februártól nem támogatott (röhögni ér, egy csomó helyen még mindig 1.4-et használnak).

Címkék: java

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Kinai cuccok blog · http://kinaicuccok.blog.hu 2012.12.29. 14:02:45

A legtöbb fejlesztés is még az 1.4, 1.5-ön zajlik.