私の友人はちょうど私にこれを言った:セキュリティ:Webbrowserと純粋なPHPのWebサイトに埋め込まれたJava:違いはありますか?
ウェブブラウザのセキュリティのために、Javaまたはフラッシュだけです。
私は本当に強く疑っています.Phpのウェブサイト(適切に書かれたもの)とWebbrowerに埋め込まれたJavaアプリケーションとの間には違いはありません。
彼は正しいですか、もしそうなら、主な違いは何ですか(セキュリティの観点からは、のみ、メモリ消費量について話し始めないでください)。
@Decezeこのかなり正しいがあります。攻撃者は、少なくとも上でそれへのアクセス(何も攻撃者が安全でないと考えると妥協する必要がありました)
を持っているよう
すべてのクライアント側は、安全でないとみなされなければなりませんサーバ側では、攻撃者が(セキュリティ制御が正しいと仮定して)得ることができないコードが存在するため、攻撃者はすべてのクライアントサイドコード、暗号化キーなどにアクセスできるのに対し、攻撃者は取得できないコードが存在するため、本当のセキュリティとはみなされません。
単純な回答 - ちょっとしないでください:すべてのクライアント側は安全ではありません!
私は確かにCでアプリケーションを書いてHTML/CSSを使うことができるので、彼はJavascriptを意味すると思います。あなたが制御できないもの、クライアントサイドコード(モバイルコード)は安全ではありません。主に、あなたがすべてのコントロールを攻撃者に与えたからです。このビデオ:Joseph Mccrayは、人々がシステムを攻撃する方法のいくつかを示すのに役立つかもしれませんが、それはNSFW(言語用)ですが、面白いです。 DEFCONのプレゼンテーションです。
アプリケーションにセキュリティが必要な場合は、徹底的に防御的な考え方を使用する必要があります。ビデオと以前の説明で説明されている理由から、クライアント側で行う「検証」はサーバー上で繰り返さなければなりません。あなたの友人を要約するのは間違っています。
彼はJavaScriptを意味しませんでした。彼はWebブラウザで起動されたJavaアプレットを意味していました。 –
@OlivierPonsああ、その答え:) – Woot4Moo
ここではどのようなセキュリティについて言及していますか?一般的に、*すべて*クライアント側は安全でない期間です。 – deceze
あなたの答えは「あなたが求めるものは愚かです。すべてのクライアント側は安全ではない」というようなものですか? –
いいえ、それは問題でした。どんなセキュリティ? 「ユーザーの財務データの表示と編集を許可する」と「ユーザーがサーバー上のデータを編集できないようにする」の違いがある。 – Quentin