[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Java (was: Re: Deutsche Bank / Software)



Dierk wrote 
> ... Felten and his team at
> Princeton (http://www.cs.princeton.edu/sip/ - neue URL von mir - dl) have
> broken Java's type system.

Soweit ich das verstehe, ging es um frühe Versionen von JDK 1.1 und
den SecurityManager, der natürlich immer auf vollste Sicherheit
gestellt sein sollte (und seitdem wohl defaultmäßig bei allen Browsern
so eingestellt ist):

   * April 1997:
     * We found a serious security flaw in version 1.1.1 of the Java
       Development Kit (JDK) and version 1.0 of the HotJava browser, both
       from Sun.

Dabei widerspricht sich der Text mehrmals:

       ... The Netscape and Microsoft browsers are not
       affected, since they do not currently support the JDK 1.1
       code-signing API.

Und in der FAQ:

   You're at risk if you're running a Java-enabled browser and you visit
   a Web page written by a person you don't know or don't trust. Since
   the two most common browsers, Netscape Navigator and Microsoft
   Internet Explorer, are Java-enabled, most people surfing the Web are
   at risk.


> In addition, they have shown numerous system-level
> flaws in several of the interpreters.

Davon steht nix auf der Seite, vielleicht bin ich blind?  Oder sind damit
auch wieder nur die Frühversionen des SecurityManagers gemeint?

> ... David Hopwood at Oxford
> (http://www.dice.ucl.ac.be/crypto/olivier/cq/msgs3/msg00000.html - neue URL
> von mir - dl) has discovered several novel ways of breaking Java security
> as well.

Das ist noch älter:

     * From: lady0065@sable.ox.ac.uk (David Hopwood)
     * Date: 2 Jun 1996 07:15:06 GMT
     * Newsgroups: comp.lang.java, comp.security.misc, comp.security.unix

There is another serious security bug in the class loading code for all
currently available Java browsers:
    Netscape up to and including versions 2.02 and 3.0beta4 (except for
      Windows 3.x)
    Oracle PowerBrowser for Win32
    HotJava 1.0beta
    'appletviewer' from the Java Development Kit, up to and including
      version 1.0.2

1.0.2?? Halt mich einer fest...  das ist schon gar nicht mehr wahr.
Addendum: In der Java vs. ActiveX-Vergleichsfaq wird noch mehr in einen
Topf geworden.  Das erspare ich der bisher geduldigen Leserin.

ralf
-- 
URL: http://rws.home.pages.de/