我发现了一个文档在 Oracle 网站上,列出了未签名的小程序、使用 JNLP 的未签名的小程序和签名的小程序的功能。
当我在网页上遇到未签名的小程序时(我使用的是 Firefox),会弹出一个窗口,提示:
“该应用程序将以不受限制的访问方式运行”
询问是否执行。
我不明白该小程序是否已经在未经明确同意的情况下在沙箱中执行,现在正在请求更多权限,或者它是否正在等待批准才能执行。
如果签名的小程序证书已过期、无效或被用户拒绝,会发生什么情况?显示此类请求的小程序被分配了什么级别的权限?
该问题涉及 Oracle 在其二进制文件中提供的 Java 7 实现,作为 OS X 上 64 位 Web 浏览器的插件,可在以下位置找到:http://www.java.com/en/download/manual.jsp
笔记:在第二种情况下,警告似乎误导了我,因为(除了漏洞之外)它不会以不受限制的系统访问权限运行(不是 root 也不是当前用户的权限),至少指南是这么说的。在第一种情况下,这意味着系统不必要地将 Java 功能暴露给我访问的每个网站,这为漏洞利用留下了足够的空间来破坏沙盒。