アカウント名:
パスワード:
最近のblogの高機能化にも一役買ってます。代表的(?)なgoo blogでは、お絵描きやフォトレタッチができる [goo.ne.jp]ようになってます。
「アプレットが終わった」ということには同意しますが 署名付きアプリケーションをJNLPで配布するしくみ [sun.com]は, わりと面白いですよ.
また,SwingのAPIは登場した直後からずっとすばらしいものですし, Swingの実装もここ数年で飛躍的に改善されてきているので, 「登場した直後からずっと終わっている」という意見には同意しかねます.
コードサイニング証明書は,いちばん安いところだと,13800円/年 [trustlogo.co.jp]で買えました……とまぁ,それはともかく.
サーバ側のJNLPファイルで, <j2se version="1.4.2_10" href="http://java.sun.com/products/autodl/j2se"/> [sun.com] のようなことを書いておくと,クライアント側でこのJNLPファイルを解釈したときに,指定のバージョンのJREがインストールされていない場合には,そのJREを内部ダウンロード・インストールしてくれます.
つまり,サーバ側のメンテナが,JNLPファイルをきちんと更新していれば,クライアント側では安全なバージョンのJREを使わせることができるのです.
ということは逆に、悪意ある攻撃者は、脆弱なバージョンのJREをJNLPファイルに指定することで、それをインストールさせたうえで、攻撃を仕掛けることができてしまう――ということになったりしませんかねえ。
そのとおり.できますね(「すばらしい洞察」を差し上げたい).
「可能な場合には互換性のある最新バージョンのJREで起動する」という意味の指定を,JNLPファイルで書けるようにしたり,クライアントのjavaws側で設定できるようにすべきでしょうね.
テストページ [muimi.com]で試していたら、Java UpdateにJRE 5.0 Update 6 [sun.com]が出ました。これを入れると、古いJREのダウンロードや起動の前に警告を出すようになりました。(Update 5では出なかった)
なお、Update 5でも証明書の期限切れの警告や、インストール前のライセンス表示などがあるので、インストールさせた上で攻撃するのは難しそうです。今回のアップデートは、既に入っている脆弱なバージョンを起動させられるのを防ぐのに役立つと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
もう (スコア:-1, 余計なもの)
PHPがもっとセキュリティ面で安定してくれたらなあ
電子申請ぐらいにしか使われない (スコア:0)
実際、一般ユーザにとっては『ブラウザを一時フリーズさせる不快なテクノロジ』以外の何者でも無いし。過去も現状も。
電子申請でもしない限り、一般ユーザはJavaをアンインストールしたほうが快適にブラウジングできるのでは。
Re:電子申請ぐらいにしか使われない (スコア:3, おもしろおかしい)
Re:電子申請ぐらいにしか使われない (スコア:3, 興味深い)
なにげにこの需要が侮れないというか、最近はレイヤ機能までついて一昔前のペイントソフトより高機能ですごい。
Re:電子申請ぐらいにしか使われない (スコア:1)
最近のblogの高機能化にも一役買ってます。代表的(?)なgoo blogでは、お絵描きやフォトレタッチができる [goo.ne.jp]ようになってます。
Re:電子申請ぐらいにしか使われない (スコア:2, 興味深い)
「アプレットが終わった」ということには同意しますが 署名付きアプリケーションをJNLPで配布するしくみ [sun.com]は, わりと面白いですよ.
また,SwingのAPIは登場した直後からずっとすばらしいものですし, Swingの実装もここ数年で飛躍的に改善されてきているので, 「登場した直後からずっと終わっている」という意見には同意しかねます.
Re:電子申請ぐらいにしか使われない (スコア:0)
Re:電子申請ぐらいにしか使われない (スコア:3, 参考になる)
コードサイニング証明書は,いちばん安いところだと,13800円/年 [trustlogo.co.jp]で買えました……とまぁ,それはともかく.
サーバ側のJNLPファイルで, <j2se version="1.4.2_10" href="http://java.sun.com/products/autodl/j2se"/> [sun.com] のようなことを書いておくと,クライアント側でこのJNLPファイルを解釈したときに,指定のバージョンのJREがインストールされていない場合には,そのJREを内部ダウンロード・インストールしてくれます.
つまり,サーバ側のメンテナが,JNLPファイルをきちんと更新していれば,クライアント側では安全なバージョンのJREを使わせることができるのです.
Re:電子申請ぐらいにしか使われない (スコア:3, すばらしい洞察)
Re:電子申請ぐらいにしか使われない (スコア:3, 興味深い)
そのとおり.できますね(「すばらしい洞察」を差し上げたい).
「可能な場合には互換性のある最新バージョンのJREで起動する」という意味の指定を,JNLPファイルで書けるようにしたり,クライアントのjavaws側で設定できるようにすべきでしょうね.
Re:電子申請ぐらいにしか使われない (スコア:2, 参考になる)
テストページ [muimi.com]で試していたら、Java UpdateにJRE 5.0 Update 6 [sun.com]が出ました。これを入れると、古いJREのダウンロードや起動の前に警告を出すようになりました。(Update 5では出なかった)
なお、Update 5でも証明書の期限切れの警告や、インストール前のライセンス表示などがあるので、インストールさせた上で攻撃するのは難しそうです。今回のアップデートは、既に入っている脆弱なバージョンを起動させられるのを防ぐのに役立つと思います。
Re:電子申請ぐらいにしか使われない (スコア:1)
実際Web系でのJavaのシェアから見るにC系が同じだけの便利さと機能を
大々的に打ち出さない限り、Javaは弱らないんじゃないかなぁ、と小生は思います。
#TomcatやらWebOTXやら・・・よくわからん・・・