荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Qin_Qin@bbs.ustc.edu.cn (Macrosoft), 信区: Java
标 题: 警惕Java和ActiveX的applets
发信站: 中国科大BBS站 (Sun Sep 6 10:32:19 1998)
转信站: ShenZhen-University!clinux.ml.org!linux.ustc.edu.cn!ustcnews!ustcbbs
·警惕Java和ActiveX的applets
windrose <windrose@163.net>
------------------------------------------------------------------------
最近发现,Java、ActiveX 或其他基于HTML的小程序,能够访问用户硬盘上的
文件并将文件内容泄漏出去。
这样一些小程序是相当有效的,它们采用的都是合法的程序功能,能够打开网
络连接、读写文件、破坏文件,但通常不会是毁灭性的,更多地是窃取和拷贝文件
。
请访问 http://www.withinreach.co.il/hostiles/
这个站点演示了一些Java和ActiveX的applets, 具有读取本地机器上Win95的
注册表、读取本地机器上的文件、在本地硬盘上创建目录和文件等功能。
我用NC 4.05访问了这个站点并进行了Personalinfo和WeatherReport两个测试
。前者读取了我的一个.pwl文件的内容并显示了出来;后者表面上显示天气预报,
但背地里在我的C盘上创建了一个/hostile的目录并放进去了几个文件。
需要说明的是,在上面提到的两个Java程序做那些事情之前,NC4.05发出了警
告,提示程序将进行的行为具有高风险(high risks),询问我是否授权其继续进行
,为了取得测试结果,我点击了Grant进行授权。
为了保证applet的安全性,IE和NC都采取了以授权证书(certificate) 显示其
合法性的做法。而当NC发出前述警告时,我都看到了有效的授权证书(点击Certif-
icate)。由此可以得到一个教训,今后遇到applet的时候,即使具备有效的授权证
书也不能轻易相信,时刻保持警惕才是最好的安全措施。
--
("`-''-/").___..--''"`-._
`6_ 6 ) `-. ( ).`-.__.`)
(_Y_.)' ._ ) `._ `. ``-..-'
_..`--'_..-_/ /--'_.' ,'
(il),-'' (li),' ((!.-'
※ 来源: 中国科大BBS站 [bbs.ustc.edu.cn]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店