アカウント名:
パスワード:
「アプレットが終わった」ということには同意しますが 署名付きアプリケーションをJNLPで配布するしくみ [sun.com]は, わりと面白いですよ.
また,SwingのAPIは登場した直後からずっとすばらしいものですし, Swingの実装もここ数年で飛躍的に改善されてきているので, 「登場した直後からずっと終わっている」という意見には同意しかねます.
コードサイニング証明書は,いちばん安いところだと,13800円/年 [trustlogo.co.jp]で買えました……とまぁ,それはともかく.
サーバ側のJNLPファイルで, <j2se version="1.4.2_10" href="http://java.sun.com/products/autodl/j2se"/> [sun.com] のようなことを書いておくと,クライアント側でこのJNLPファイルを解釈したときに,指定のバージョンのJREがインストールされていない場合には,そのJREを内部ダウンロード・インストールしてくれます.
つまり,サーバ側のメンテナが,JNLPファイルをきちんと更新していれば,クライアント側では安全なバージョンのJREを使わせることができるのです.
ということは逆に、悪意ある攻撃者は、脆弱なバージョンのJREをJNLPファイルに指定することで、それをインストールさせたうえで、攻撃を仕掛けることができてしまう――ということになったりしませんかねえ。
そのとおり.できますね(「すばらしい洞察」を差し上げたい).
「可能な場合には互換性のある最新バージョンのJREで起動する」という意味の指定を,JNLPファイルで書けるようにしたり,クライアントのjavaws側で設定できるようにすべきでしょうね.
テストページ [muimi.com]で試していたら、Java UpdateにJRE 5.0 Update 6 [sun.com]が出ました。これを入れると、古いJREのダウンロードや起動の前に警告を出すようになりました。(Update 5では出なかった)
なお、Update 5でも証明書の期限切れの警告や、インストール前のライセンス表示などがあるので、インストールさせた上で攻撃するのは難しそうです。今回のアップデートは、既に入っている脆弱なバージョンを起動させられるのを防ぐのに役立つと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
もう (スコア:-1, 余計なもの)
PHPがもっとセキュリティ面で安定してくれたらなあ
電子申請ぐらいにしか使われない (スコア:0)
実際、一般ユーザにとっては『ブラウザを一時フリーズさせる不快なテクノロジ』以外の何者でも無いし。過去も現状も。
電子申請でもしない限り、一般ユーザはJavaをアンインストールしたほうが快適にブラウジングできるのでは。
Re:電子申請ぐらいにしか使われない (スコア:2, 興味深い)
「アプレットが終わった」ということには同意しますが 署名付きアプリケーションをJNLPで配布するしくみ [sun.com]は, わりと面白いですよ.
また,SwingのAPIは登場した直後からずっとすばらしいものですし, Swingの実装もここ数年で飛躍的に改善されてきているので, 「登場した直後からずっと終わっている」という意見には同意しかねます.
Re:電子申請ぐらいにしか使われない (スコア:0)
Re:電子申請ぐらいにしか使われない (スコア:3, 参考になる)
コードサイニング証明書は,いちばん安いところだと,13800円/年 [trustlogo.co.jp]で買えました……とまぁ,それはともかく.
サーバ側のJNLPファイルで, <j2se version="1.4.2_10" href="http://java.sun.com/products/autodl/j2se"/> [sun.com] のようなことを書いておくと,クライアント側でこのJNLPファイルを解釈したときに,指定のバージョンのJREがインストールされていない場合には,そのJREを内部ダウンロード・インストールしてくれます.
つまり,サーバ側のメンテナが,JNLPファイルをきちんと更新していれば,クライアント側では安全なバージョンのJREを使わせることができるのです.
Re:電子申請ぐらいにしか使われない (スコア:3, すばらしい洞察)
Re:電子申請ぐらいにしか使われない (スコア:3, 興味深い)
そのとおり.できますね(「すばらしい洞察」を差し上げたい).
「可能な場合には互換性のある最新バージョンのJREで起動する」という意味の指定を,JNLPファイルで書けるようにしたり,クライアントのjavaws側で設定できるようにすべきでしょうね.
Re:電子申請ぐらいにしか使われない (スコア:2, 参考になる)
テストページ [muimi.com]で試していたら、Java UpdateにJRE 5.0 Update 6 [sun.com]が出ました。これを入れると、古いJREのダウンロードや起動の前に警告を出すようになりました。(Update 5では出なかった)
なお、Update 5でも証明書の期限切れの警告や、インストール前のライセンス表示などがあるので、インストールさせた上で攻撃するのは難しそうです。今回のアップデートは、既に入っている脆弱なバージョンを起動させられるのを防ぐのに役立つと思います。