1
最近、私たちのシステムの脆弱性を発見したセキュリティ監査がありました。 我々は持っているアプリケーションは、Java Web Startのの一つであり、JNLPは、サーバー上で生成されたときに、ブラウザにロードされている私たちは、リソースを提供するために使用するカスタム非常にシンプルなウェブサーバ(HTMLヘルプファイル、画像、jarファイル)jarファイルにアクセスする際のセキュリティ上の懸念
を持っていますアプリケーションに必要なjarファイルをダウンロードするために私たちのWebサーバーを呼び出します。最後に、アプリケーションが起動すると、ログイン画面がユーザに促されます。
しかし、ブラウザで入力して、jnlpがシーンの背後で行うジャーをダウンロードすることができます。この事実はセキュリティの脆弱性とみなされます。主な懸案事項は、認証されていないユーザーが有効なアカウントを持たずにjarファイルにアクセスできることです。
私の質問は次のようになります。懸念は、私は、アプリケーションのjarファイルへのアクセスを保護することができますどのように正当化される場合 1. jarファイルので、正当化、セキュリティの脆弱性の主張は、ログイン画面 2.前に、クライアントマシンに到達するために必要ですファイル? JNLPのリソースを暴露すると、セキュリティ上の脆弱性がある場合、私は知らないあなたが最終的に保護しようとしているか知らない マリウス
実行中のウェブサーバーの種類は? – bsimic
セキュリティ上の脆弱性が存在する場合は、一般公開されていることを確認してもよろしいですか? /あなたのネットワークの外でコードを実行しようとすると、コードが公開される必要があります(難読化されているかもしれませんが、本当にセキュリティを構成するとは思わない)。 Webブラウザでも、JavaScriptソースを表示できます(Ctrl-Uを無効にしようとすると右クリックはあまり効果的ではありません)。 –
これはih-houseで実行されるシンプルなWebサーバーです。これはこれまでセキュリティを考慮していなかった理由の1つです。 –