[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Java (was: Re: Deutsche Bank / Software)
Dierk wrote
> ... Felten and his team at
> Princeton (http://www.cs.princeton.edu/sip/ - neue URL von mir - dl) have
> broken Java's type system.
Soweit ich das verstehe, ging es um frühe Versionen von JDK 1.1 und
den SecurityManager, der natürlich immer auf vollste Sicherheit
gestellt sein sollte (und seitdem wohl defaultmäßig bei allen Browsern
so eingestellt ist):
* April 1997:
* We found a serious security flaw in version 1.1.1 of the Java
Development Kit (JDK) and version 1.0 of the HotJava browser, both
from Sun.
Dabei widerspricht sich der Text mehrmals:
... The Netscape and Microsoft browsers are not
affected, since they do not currently support the JDK 1.1
code-signing API.
Und in der FAQ:
You're at risk if you're running a Java-enabled browser and you visit
a Web page written by a person you don't know or don't trust. Since
the two most common browsers, Netscape Navigator and Microsoft
Internet Explorer, are Java-enabled, most people surfing the Web are
at risk.
> In addition, they have shown numerous system-level
> flaws in several of the interpreters.
Davon steht nix auf der Seite, vielleicht bin ich blind? Oder sind damit
auch wieder nur die Frühversionen des SecurityManagers gemeint?
> ... David Hopwood at Oxford
> (http://www.dice.ucl.ac.be/crypto/olivier/cq/msgs3/msg00000.html - neue URL
> von mir - dl) has discovered several novel ways of breaking Java security
> as well.
Das ist noch älter:
* From: lady0065@sable.ox.ac.uk (David Hopwood)
* Date: 2 Jun 1996 07:15:06 GMT
* Newsgroups: comp.lang.java, comp.security.misc, comp.security.unix
There is another serious security bug in the class loading code for all
currently available Java browsers:
Netscape up to and including versions 2.02 and 3.0beta4 (except for
Windows 3.x)
Oracle PowerBrowser for Win32
HotJava 1.0beta
'appletviewer' from the Java Development Kit, up to and including
version 1.0.2
1.0.2?? Halt mich einer fest... das ist schon gar nicht mehr wahr.
Addendum: In der Java vs. ActiveX-Vergleichsfaq wird noch mehr in einen
Topf geworden. Das erspare ich der bisher geduldigen Leserin.
ralf
--
URL: http://rws.home.pages.de/