ドジなシステム構築事業者がいないとも限らないから、バックアップしておいた方が良いのですかネ。

C:\Program Files\Java\j2re1.4.2_04\lib\security
の「java.policy」ファイルですが、、。

********************************************************************************

Java、セキュリティポリシーの独自設定に関する注意喚起（IPA/ISEC）
http://www.ipa.go.jp/security/vuln/20050228javapolicy.html

最終更新日　2005年 2月 28日
更新履歴

掲載日　2005年 2月28日
独立行政法人 情報処理推進機構
セキュリティセンター

　Java アプリケーションのイントールプログラム等の中には、インストール時にクライアントの Java 環境のセキュリティポリシー（以下：ポリシー）を書換えるものがあります。

　Java のセキュリティモデルでは、ポリシーを使用して、Java アプリケーション等の権限を制御できます。また、ポリシーの適用範囲は細かく制御でき、必要な個所にだけ必要な権限を与えることができます。

　しかし、Java アプリケーションのインストールプログラム等の中には、もともと設定されているポリシーを上書きして消してしまったり、ポリシーの適用範囲を制限していないものがあります。これにより、他の Java アプリケーションが動作しなくなったり、ネットワーク上に仕掛けられた罠により、クライアントが第三者への攻撃の踏み台にされる可能性があります。

　システム構築事業者の方は、このような不適切なポリシー設定により、クライアントのセキュリティレベルを低下させないよう、改めて注意するとともに、以下の点の確認をお願いします。

※　ポリシーファイルは、標準の設定では以下の場所に作成されます。

　・システムポリシーファイル ({java.home} は Java をインストールした場所)
　　　{java.home}\lib\security\java.policy (Windows)
　　　{java.home}/lib/security/java.policy (Solaris)

　・ユーザポリシーファイル ({user.home} はユーザのホームディレクトリ)
　　　{user.home}\.java.policy (Windows)
　　　{user.home}/.java.policy (Solaris)

■必要なポリシーだけを許可する

　ポリシーの適用範囲を制限していても、ファイルを読む "read" だけが必要な場合に "write" まで許可することは好ましくありません。

■適用範囲を制限しないポリシー設定を行わない

　次のような適用範囲を制限していない権限付与（grant）はシステム全体のセキュリティレベルを低下させてしまいます。

--------------------------------------------------------------
grant {
permission java.io.FilePermission "<>", "read";
}
--------------------------------------------------------------

必ず、以下のように署名付きのアプレット単位や、コードベース単位で設定してください。

--------------------------------------------------------------
grant signedBy "foobar", codeBase "http://www.example.jp/*" {
};
--------------------------------------------------------------

■ポリシーの上書きをしない

　ポリシーを設定する際は、必ず元のポリシーに追記する形にし、ポリシーファイル自体の上書きを行わないでください。ポリシーファイルが上書きされた場合、もともと設定されていたポリシーに依存した他の Java アプリケーション等が動作しなくなる可能性があります。

参考情報：
　Java セキュリティアーキテクチャ (3.3 java.security.Policy)

　http://java.sun.com/j2se/1.5.0/ja/docs/ja/guide/security/spec/security-spec.doc3.html#20128

　セキュアプログラミング講座 （第３章 セキュアJavaプログラミング）

　http://www.ipa.go.jp/security/awareness/vendor/programming/a03_01.html

お問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）
TEL：03-5978-7527　FAX：03-5978-7518

E-mail：

更新履歴

2005年 2月28日

公開

2005年 2月28日

まぎらわしい表現を修正

　次へ 　前へ

▲このページのＴＯＰへ　　　　　 HOME > ＩＴ7掲示板

フォローアップ:

　

　

　

拍手はせず、拍手一覧を見る

---

★登録無しでコメント可能。今すぐ反映　通常 ｜動画・ツイッター等 ｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証
（ 上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):

投稿コメント全ログ 　コメント即時配信 　スレ建て依頼 　削除コメント確認方法

---

★阿修羅♪　http://www.asyura2.com/ 　since 1995
　題名には必ず「阿修羅さんへ」と記述してください。
掲示板,ＭＬを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。