04.11.1997  Новости

 Согласно академической работе, полученной недавно Тестовым центром PC Week Labs, модель безопасности Java может быть ненадежна в принципе. Результаты, изложенные в статье, были также представлены на конференции National Information Systems Security, прошедшей в Балтиморе в октябре.  Марк Ладью, имеющий степень доктора прикладной математики, делает вывод, что многие утверждения относительно безопасности Java неверны, если файлы Java-классов (например, Java-аплеты) генерируются чем-либо кроме Java-компилятора.  Если факты подтвердятся, то разрекламированная непревзойденность системы безопасности Java при использовании непроверенного кода (по сравнению с другими технологиями, использующими активные компоненты, например ActiveX) будет поставлена под вопрос.  Компании подвергаются гораздо большему риску изнутри, из области, находящейся за брандмауэром, чем снаружи. Приложения, расположенные на общедоступных страницах Web, как правило, не имеют необходимых привилегий для проведения успешной атаки.  Пока идет обсуждение вопросов, поднятых в статье, корпоративным разработчикам лучше защитить свои файловые системы, установив соответствующие права доступа к файлам с помощью шифрования и других средств, а не надеяться исключительно на защиту со стороны Java.  Статья Ладью была тщательно проверена группой рецензентов и только после этого принята для представления на конференции ее спонсорами  -  National Computer Security Center и National Institute of Standards and Technology.  Ли ... читать далее.