Re:電子申請ぐらいにしか使われない (#840620) | SunのJava実行環境に致命的レベルの脆弱性

「SunのJava実行環境に致命的レベルの脆弱性」記事へのコメント

記事ページを表示すべてのコメント取得

検索42コメント Log In/Create an Account

もう (スコア:-1, 余計なもの)

by Anonymous Coward

どちらにせよJavaの時代は終わりだ
PHPがもっとセキュリティ面で安定してくれたらなあ
- 電子申請ぐらいにしか使われない (スコア:0)
  
  by Anonymous Coward
  
  Javaアプレットに限って言えば、もう10年前にとっくに終わってます。登場した直後からずっと終わってる。
  
  実際、一般ユーザにとっては『ブラウザを一時フリーズさせる不快なテクノロジ』以外の何者でも無いし。過去も現状も。
  電子申請でもしない限り、一般ユーザはJavaをアンインストールしたほうが快適にブラウジングできるのでは。
  - Re:電子申請ぐらいにしか使われない (スコア:2, 興味深い)
    
    by bool (6916)
    
    「アプレットが終わった」ということには同意しますが署名付きアプリケーションをJNLPで配布するしくみ [sun.com]は，わりと面白いですよ．
    
    また，SwingのAPIは登場した直後からずっとすばらしいものですし， Swingの実装もここ数年で飛躍的に改善されてきているので，「登場した直後からずっと終わっている」という意見には同意しかねます．
    - Re:電子申請ぐらいにしか使われない (スコア:0)
      
      by Anonymous Coward
      
      でも、その署名には、オレオレ証明書しか使う気がなかったり。
      - Re:電子申請ぐらいにしか使われない (スコア:3, 参考になる)
        
        by bool (6916)
        
        コードサイニング証明書は，いちばん安いところだと， 13800円/年 [trustlogo.co.jp]で買えました……とまぁ，それはともかく．
        サーバ側のJNLPファイルで， <j2se version="1.4.2_10" href="http://java.sun.com/products/autodl/j2se"/> [sun.com] のようなことを書いておくと，クライアント側でこのJNLPファイルを解釈したときに，指定のバージョンのJREがインストールされていない
        
        Re:電子申請ぐらいにしか使われない (スコア:3, すばらしい洞察)
        
        by jbeef (1278) on 2005年12月01日 2時05分 (#840620) 日記
        
        つまり，サーバ側のメンテナが，JNLPファイルをきちんと更新していれば，クライアント側では安全なバージョンのJREを使わせることができるのです．
        ということは逆に、悪意ある攻撃者は、脆弱なバージョンのJREをJNLPファイルに指定することで、それをインストールさせたうえで、攻撃を仕掛けることができてしまう――ということになったりしませんかねえ。
        
        シェア
        
        親コメント
        
        Re:電子申請ぐらいにしか使われない (スコア:3, 興味深い)
        
        by bool (6916) on 2005年12月01日 6時51分 (#840652) ホームページ
        
        ということは逆に、悪意ある攻撃者は、脆弱なバージョンのJREをJNLPファイルに指定することで、それをインストールさせたうえで、攻撃を仕掛けることができてしまう――ということになったりしませんかねえ。
        
        そのとおり．できますね(「すばらしい洞察」を差し上げたい)．
        
        「可能な場合には互換性のある最新バージョンのJREで起動する」という意味の指定を，JNLPファイルで書けるようにしたり，クライアントのjavaws側で設定できるようにすべきでしょうね．
        
        シェア
        
        親コメント
        
        Re:電子申請ぐらいにしか使われない (スコア:2, 参考になる)
        
        by MatsuTake (16700) on 2005年12月02日 22時57分 (#841543)
        
        「可能な場合には互換性のある最新バージョンのJREで起動する」という意味の指定を，JNLPファイルで書けるようにしたり，クライアントのjavaws側で設定できるようにすべきでしょうね．
        
        テストページ [muimi.com]で試していたら、Java UpdateにJRE 5.0 Update 6 [sun.com]が出ました。これを入れると、古いJREのダウンロードや起動の前に警告を出すようになりました。(Update 5では出なかった)
        
        なお、Update 5でも証明書の期限切れの警告や、インストール前のライセンス表示などがあるので、インストールさせた上で攻撃するのは難しそうです。今回のアップデートは、既に入っている脆弱なバージョンを起動させられるのを防ぐのに役立つと思います。
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

SunのJava実行環境に致命的レベルの脆弱性 More ログイン

「SunのJava実行環境に致命的レベルの脆弱性」記事へのコメント

もう (スコア:-1, 余計なもの)

電子申請ぐらいにしか使われない (スコア:0)

Re:電子申請ぐらいにしか使われない (スコア:2, 興味深い)

Re:電子申請ぐらいにしか使われない (スコア:0)

Re:電子申請ぐらいにしか使われない (スコア:3, 参考になる)

Re:電子申請ぐらいにしか使われない (スコア:3, すばらしい洞察)

Re:電子申請ぐらいにしか使われない (スコア:3, 興味深い)

Re:電子申請ぐらいにしか使われない (スコア:2, 参考になる)

スラド