● 警惕Java和ActiveX的applets - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: Qin_Qin@bbs.ustc.edu.cn (Macrosoft), 信区: Java
标  题: 警惕Java和ActiveX的applets
发信站: 中国科大BBS站 (Sun Sep  6 10:32:19 1998)
转信站: ShenZhen-University!clinux.ml.org!linux.ustc.edu.cn!ustcnews!ustcbbs

·警惕Java和ActiveX的applets
windrose <windrose@163.net>
------------------------------------------------------------------------
　　最近发现，Java、ActiveX 或其他基于HTML的小程序，能够访问用户硬盘上的
文件并将文件内容泄漏出去。
　　这样一些小程序是相当有效的，它们采用的都是合法的程序功能，能够打开网
络连接、读写文件、破坏文件，但通常不会是毁灭性的，更多地是窃取和拷贝文件
。
　　请访问 http://www.withinreach.co.il/hostiles/
　　这个站点演示了一些Java和ActiveX的applets，具有读取本地机器上Win95的
注册表、读取本地机器上的文件、在本地硬盘上创建目录和文件等功能。
　　我用NC 4.05访问了这个站点并进行了Personalinfo和WeatherReport两个测试
。前者读取了我的一个.pwl文件的内容并显示了出来；后者表面上显示天气预报，
但背地里在我的C盘上创建了一个/hostile的目录并放进去了几个文件。
　　需要说明的是，在上面提到的两个Java程序做那些事情之前，NC4.05发出了警
告，提示程序将进行的行为具有高风险(high risks)，询问我是否授权其继续进行
，为了取得测试结果，我点击了Grant进行授权。
　　为了保证applet的安全性，IE和NC都采取了以授权证书(certificate) 显示其
合法性的做法。而当NC发出前述警告时，我都看到了有效的授权证书(点击Certif-
icate)。由此可以得到一个教训，今后遇到applet的时候，即使具备有效的授权证
书也不能轻易相信，时刻保持警惕才是最好的安全措施。

--

              ("`-''-/").___..--''"`-._
              `6_ 6  )   `-.  (     ).`-.__.`)
              (_Y_.)'  ._   )  `._ `. ``-..-'
            _..`--'_..-_/  /--'_.' ,'
           (il),-''  (li),'  ((!.-'

※ 来源: 中国科大BBS站 [bbs.ustc.edu.cn]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店