パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SunのJava実行環境に致命的レベルの脆弱性」記事へのコメント

  • もう (スコア:-1, 余計なもの)

    by Anonymous Coward
    どちらにせよJavaの時代は終わりだ
    PHPがもっとセキュリティ面で安定してくれたらなあ
    • Javaアプレットに限って言えば、もう10年前にとっくに終わってます。登場した直後からずっと終わってる。

      実際、一般ユーザにとっては『ブラウザを一時フリーズさせる不快なテクノロジ』以外の何者でも無いし。過去も現状も。
      電子申請でもしない限り、一般ユーザはJavaをアンインストールしたほうが快適にブラウジングできるのでは。
      • 「アプレットが終わった」ということには同意しますが 署名付きアプリケーションをJNLPで配布するしくみ [sun.com]は, わりと面白いですよ.

        また,SwingのAPIは登場した直後からずっとすばらしいものですし, Swingの実装もここ数年で飛躍的に改善されてきているので, 「登場した直後からずっと終わっている」という意見には同意しかねます.

        • でも、その署名には、オレオレ証明書しか使う気がなかったり。
          • コードサイニング証明書は,いちばん安いところだと, 13800円/年 [trustlogo.co.jp]で買えました……とまぁ,それはともかく.

            サーバ側のJNLPファイルで, <j2se version="1.4.2_10" href="http://java.sun.com/products/autodl/j2se"/> [sun.com] のようなことを書いておくと,クライアント側でこのJNLPファイルを解釈したときに,指定のバージョンのJREがインストールされていない

            • by jbeef (1278) on 2005年12月01日 2時05分 (#840620) 日記
              つまり,サーバ側のメンテナが,JNLPファイルをきちんと更新していれば,クライアント側では安全なバージョンのJREを使わせることができるのです.
              ということは逆に、悪意ある攻撃者は、脆弱なバージョンのJREをJNLPファイルに指定することで、それをインストールさせたうえで、攻撃を仕掛けることができてしまう――ということになったりしませんかねえ。
              親コメント
              • ということは逆に、悪意ある攻撃者は、脆弱なバージョンのJREをJNLPファイルに指定することで、それをインストールさせたうえで、攻撃を仕掛けることができてしまう――ということになったりしませんかねえ。

                そのとおり.できますね(「すばらしい洞察」を差し上げたい).

                「可能な場合には互換性のある最新バージョンのJREで起動する」という意味の指定を,JNLPファイルで書けるようにしたり,クライアントのjavaws側で設定できるようにすべきでしょうね.

                親コメント
              • by MatsuTake (16700) on 2005年12月02日 22時57分 (#841543)

                「可能な場合には互換性のある最新バージョンのJREで起動する」という意味の指定を,JNLPファイルで書けるようにしたり,クライアントのjavaws側で設定できるようにすべきでしょうね.

                テストページ [muimi.com]で試していたら、Java UpdateにJRE 5.0 Update 6 [sun.com]が出ました。これを入れると、古いJREのダウンロードや起動の前に警告を出すようになりました。(Update 5では出なかった)

                なお、Update 5でも証明書の期限切れの警告や、インストール前のライセンス表示などがあるので、インストールさせた上で攻撃するのは難しそうです。今回のアップデートは、既に入っている脆弱なバージョンを起動させられるのを防ぐのに役立つと思います。

                親コメント

身近な人の偉大さは半減する -- あるアレゲ人

処理中...