我认为,安装常规 Java 插件对非 IT 人员来说确实存在安全风险。通常,Java 小程序在沙箱中运行,小程序无法对您的计算机造成任何损害。
但是,如果小程序需要执行某些操作,例如以只读方式访问您的文件系统(例如上传图片),则必须赋予它更多权限。通常这样做是可以的,但我认为不是每个人都知道您授予小程序与您的用户相同的计算机权限!这就是 Java 要求您执行的所有操作:
这看起来就像在没有敏感数据交换的随机页面上使用自签名 SSL 证书一样“有害”。用户将要点击Run!
您可以在家尝试使用控制台,这就是 Jython(Java 上的 Python)!
只需输入 Python 代码,例如
import os
os.system('cat /etc/passwd')
或更糟不要在你的计算机上输入该代码!!!
import os
os.system('rm -rf ~')
...
有人知道如何禁用特权升级的可能性吗?顺便问一句,有人知道为什么 SUN 只显示如上所示的无害对话框吗(Firefox 3 及更高版本中的自签名 SSL 证书对话框是很多这里更清楚!)?
来自我的计算机的实时样本:
答案1
绝对不是官方答案:
从 6u10 开始,小程序可以使用 java.jnlp API 读取文件。用户首先会看到一个警告对话框(我希望可以删除它),然后会看到一个文件打开浏览器。小程序只能读取用户通过文件选择器为其选择的文件。
目前,您可以通过转到 Java 控制面板,选择“高级”选项卡来阻止用户信任“内容”。安全性下的第一个复选框当前为“允许用户向已签名的 content@ 授予权限”。第二个复选框为“允许用户向来自不受信任的机构的内容授予权限”。
安全对话框的可怕程度应该与微软的 ActiveX 和 Adobe 的 AIR 等同类业内产品大致相当。
(披露:我从事 Java SE 安全工作。)