Discussoes de Programacao e Tecnologia

Poder versus segurança

4 respostas
dukejeffrie
dukejeffrie

Eu tava lendo um post do cv que terminava com essa deixa…

Os usuários do UOL receberam um alerta essa semana contra o vírus Bugbear, que está pegando muitas máquinas por aí, inclusive empresas. Ouvi boatos sobre “115 países com empresas do setor financeiro” terem pego, etc, etc.

A JVM prevê um isolamento das aplicações em um sandbox, e bloqueios de segurança com permissões, evitando que código remoto (applet, webstart, ou uma app que vc baixe e rode) tenha acesso “demais” na sua máquina.

Mas se vc tiver aspectos, por exemplo, ou capacidade de modificar o bytecode em runtime (que o JDistro, o Echidna e vários outros progs fazem), vc pode passar por cima de muitas “garantias” previsas durante a criação das especificações.

A pergunta é: o que vcs acham mais importante, que os programas Java sejam poderosos, capazes de fazer maravilhas, ou seguros, de modo que possamos confiar sempre neles?

É possível construir um sistema incorruptível?

[]s

Alura Git Flow: entenda o que é, como e quando utilizar Entenda o que é Git Flow, como funciona seu fluxo com branches como Master, Develop, Feature, Release e Hotfix, além de vantagens e desvantagens.

4 Respostas

louds
louds

Vc não tem como burlar o modelo de segurança da JVM de um plugin
simplesmente pq não vai ter permissão para criar 1 classloader mais permissivo.

Segurança é um dos pilares do java e não tem como enfraquecer sem abrir 1 enorme rombo de segurança…

Rafael_Steil
Rafael_Steil

<ironia>

“louds”:
… criar 1 classloader mais permissivo.
… não tem como enfraquecer sem abrir 1 enorme rombo de segurança…

Mas e se fosse mais de UM ? talves dois ou tres…

// ...
String msg = "blablaba 1 vez blabla e 1 programa balbla";
String betterMsg = msg.replaceAll&#40;"1", "um"&#41;;
// ...

</ironia>

Rafael

Paulo_Silveira
Paulo_Silveira

tiago, ja mostraram que com aspectagem ou qualquer manipulador de bytecode como o jmangler e o bcel, voce quebra seguranca de QUALQUER software em java, mas nao quebra nada que foi loadado pelo bootstrap classloader, que eh a restricao basica do java.

mas realmente eh uma boa questao. mas o java ta muito bem sem dar permissoes grotescas pra todo mundo neh? e se voce quer fazer besteira, eh soh mexer nos pilicies :slight_smile:

dukejeffrie
dukejeffrie

Acho que eu to pensando meio longe…

Quando vc roda uma app em webstart, ela pode requerer permissões a mais pra vc. o Webstart checa o certificado, faz uma recomendação do tipo “recomendamos que vc não execute este programa” e depois pergunta: “Vc quer executá-lo”??

Claro que quando vc faz um projeto server side, vc pode proteger relativamente bem o servidor. Se for web, também é mais difícil. Mas e se for um sistema distribuído, com clientes em Java, usando RMI ou algo equivalente?

Em termos de arquitetura, não dá pra confiar nos clientes. Porque se o cara roda um cliente “envenenado”, ele pode burlar esquemas de segurança que estejam colocados do lado do cliente. Assim como é possível aspectar o Together pra pular a parte de licença, é possível mudar um cliente pra ignorar esquemas de segurança e avacalhar um sistema distribuído que era antes seguro.

Quando eu falo em poder, penso na possibilidade que um usuário teria de customizar ao máximo o comportamento do software que roda na máquina dele. O mundo do software livre também é o mundo dos clones.

O “pilar do Java” em termos de segurança é um código assim:

if &#40;&#40;name != null&#41; &amp;&amp; name.startsWith&#40;"java."&#41;&#41; &#123;
            throw new SecurityException&#40;"Prohibited package name&#58; " + 
                                        name.substring&#40;0, name.lastIndexOf&#40;'.'&#41;&#41;&#41;;
        &#125;

dentro do defineClass(String name, byte[] b, int off, len, ProtectionDomain protectionDomain).

[]s

Criado 8 de junho de 2003
Ultima resposta 9 de jun. de 2003
Respostas 4
Participantes 4

Topicos relacionados

Dúvida : Especificação Técnica e Especificação funcional 13 respostas O que é Time-Sharing? 3 respostas UML - Diagrama de Sequência - Cadastrar Produtos 32 respostas MVC - Preciso de um exemplo em Java! 6 respostas Dúvida com modelagem de sistema de vendas e estoque 17 respostas
Casa do Codigo Pentest em aplicacoes web Por Jose Augusto de Almeida Jr. — Casa do Codigo
Fiap Graduacao em Tecnologia — FIAP Analise e Desenvolvimento de Sistemas, Engenharia de Software e mais