Ｊａｖａ的不安全性.pdfVIP

dAVA的不安全性 王华 (1．信息工程学院计算机软件室，郑州河南，450052) 摘要JAvA是近几年出现的能跨平台使用的语言，由于其功能强大，使用方便等优点，目前 正在各行并业中使用或正准备使用。尤其足JAvA2的出现，功能及速度都有进一步增人，这样更加 推动fJAVAOIfE予商贸，远挥购物和远程银行等实时性项目中的应用。由于JAVA是一种新语言， JC宣今方血的缺陷必然存n，普林斯顿大学，牛津大学，S11N公司等许多科研研究机构都致力于完 善JAVA．也正圳为如此，JAVA扯不断自我完善的过程中得到发展。奉文介绍JAVA不安全的地方。 1．引言 类装入程序有一个严重漏洞。同时，普林斯顿大学的这组研究人员在字节-代码检测程序中发 网景公rd迅速解决这些问题，但普林斯顿大学研究员和牛津人学的研究员在5、6月的攻击证 明，他们的补救是脆弱的，不得不再次补救。8月，普林斯顿人学研究员揭露了IE3中存在同 样的漏涮。这些攻击程序是研究人员发明，测试，而从未公开披露。98年，Rich 的安全问题做了全面的分析[5]，99年GaryMcGraw和Edward 中的安全问题做了介绍[6] 2． JAVA的非法应用 JAVA戍Ⅲ样序会执行或诱导用户执行一种用户不在意操作，这种操作正是一种攻击行为。林 斯顿人学研究员和牛津人学的研究者发明的JAVA应阁程序属下该类，他们不需要读，而且不破 坏文什。某些时候，他们会有利丁搜索某些人的资源，而另一些场合，仅仅简单的攻击就会 造成灾难后果。 非法JAVA麻fL}j程序可提供以下JAVAJ踅用程序，它们能： 1．埘一个不愿安静的吵嚷熊骚扰：2．使浏览器带有难以忍受犬畎；3．使浏览器关闭时带有犬 吠；4．月j_一个很大的视窗、无效计算和各种声音攻击，使有闲暇离开控制台：5．弹出不可信 应用程序窗口菜单，减去警告并要求登陆和输入密码：6．清除其他应用程序，保护自身的线 稗速度；7．伪造电子邮件；8．获得用户名；9．测试工作站，运行其他人的程序并报告结果。 需要“给人竹J提供某种机制去抵御有敌意的JAVA小程序”，并且他们正在寻找“更好的透径去 监视和控靠flJava类对资源使朋”然而到目前为止，仅仅是印pletkilling，j,程序被解决了。 ·154· Apllet 消灭Denial—of～serviceApplet，stealthyApplet等要困难得多，因为它们使用的是Java语 言的晟基本的特性。 3．危险的根源 虽然JAVAdP的安全漏洞的数目及本质足以令人感到恐惧，但计算机安全专家和黑客们却 认为其不足为奇。因为任何象JAVA自g样复杂和强大的J二具必然会在概念和实现上存在大量错 误，它毕竟是人类智力的产物，’错误是不可避免的，但这些错误会导致严重的安全漏洞，而 且有些漏洞只可能在问题出现后才能弥补。相比而肓，SUN公司针对JAVA安全性而推出的“： ANDBOXMODLE’的策略是正确的，因为他们并不是去一味吹嘘长串的术语，好象其具有极其 完美的安全性(正如JAVAB0出来时他们所做的那样)。不可否认该模型是否完备还有待考证， 但其中的许多观点无疑是正确的。 DEVELOPMENT JAVA KIT(JDK)被宣称将具有许多新的与令人心动的特性。但是每个新特 性又都是潜在的安全漏洞来源，以下各项便是漏洞： RemoteMethod (1)JAVA远程方法调用(Java 缺陷会导致动态加载有敌意的类。 (2)基于新Java安全包的API将引入JavaSecurityAPIN密工具，包括：数字签名、信 息摘要和密钥管理等等。而这些地方即使发生极小的错误都会打开极大的安全漏 洞，并且安全地使用这些i一具的负担将会落剑用户的身上，而用户往往是安全性问 题上最薄弱的环节。 通常用户是安全性问题上的最薄弱环节。例如，NetsCapeNavagater，虽然它提供