LiveConnect changes in 7u45 (Java Platform Group, Product Management blog)
こちら、オラクルの Java Blog なんですが、Java 7 SE Update 45 で変更されたライブコネクトによるJava 認証にとんでもない欠陥があるのではというコメントが付いて話題になっています。
The LiveConnect warning looks like this:
LiveConnect Dialog: Allow access to the following application from this web site?
Developers looking to avoid this warning within their applications may use the optional Caller-Allowable-Codebase attribute within their JAR file’s Manifest. The Caller-Allowable-Codebase attribute provides a list of domains that can make LiveConnect calls in to the application. This is different than the optional Codebase attribute, which describes the domains from which JAR files may be loaded, although both use similar syntax. |
信頼できるライブラリを使用すると、呼び出し元が許可され、 コードベースでは無視されるようだ。
Σ(・ω・ ) な、なんだってー
全然セキュリティの、意味ないじゃんw
普通のアプリケーションを起動すると、警告が出てめんどくさいのに、悪質なコードに信頼できるライブラリが含まれていた場合、こっそり実行されてもユーザーは気づかないわけですねw
もう、Java 6 でよくない? ・ω・
Translate
これ、気付いてない(若しくは事の重大さを知らない)人が多い気がするんですが・・・・。
これ、気付いてない(若しくは事の重大さを知らない)人が多い気がするんですが・・・・。
そして、気づいていても64ビットOSを使っている人はどうにもならないのですからねえ・・・。
そして、気づいていても64ビットOSを使っている人はどうにもならないのですからねえ・・・。
Firefoxのアドオンで警告していましたが、このような内容だったとは。
どうやって対応策をとればいいか…悩んでしまいます。
Firefoxのアドオンで警告していましたが、このような内容だったとは。
どうやって対応策をとればいいか…悩んでしまいます。
ふとこの記事を見つけましたが、
個人的には削除や無効にとかあよく言われるけれども、ただそれだけだとjavaで解析して(いると思われる)動画を落とすことができるサイトや
某正男(某ゲーム風ゲーム)、ノベル(というか非全年齢)ゲームのスクリプト等変換ツールなどいろいろなところで利用されていて切っても切れないよなぁ・・・・・という感じですね。
個別許可(許可しないと動かない)できるのであればそれがいいかもしれないですね。
ふとこの記事を見つけましたが、
個人的には削除や無効にとかあよく言われるけれども、ただそれだけだとjavaで解析して(いると思われる)動画を落とすことができるサイトや
某正男(某ゲーム風ゲーム)、ノベル(というか非全年齢)ゲームのスクリプト等変換ツールなどいろいろなところで利用されていて切っても切れないよなぁ・・・・・という感じですね。
個別許可(許可しないと動かない)できるのであればそれがいいかもしれないですね。