★阿修羅♪ 現在地 HOME > IT7 > 461.html
 ★阿修羅♪
次へ 前へ
Java、セキュリティポリシーの独自設定に関する注意喚起(IPA/ISEC)
http://www.asyura2.com/0411/it07/msg/461.html
投稿者 クエスチョン 日時 2005 年 3 月 02 日 22:30:27: WmYnAkBebEg4M
 


ドジなシステム構築事業者がいないとも限らないから、バックアップしておいた方が良いのですかネ。

C:\Program Files\Java\j2re1.4.2_04\lib\security
の「java.policy」ファイルですが、、。

********************************************************************************

Java、セキュリティポリシーの独自設定に関する注意喚起(IPA/ISEC)
http://www.ipa.go.jp/security/vuln/20050228javapolicy.html

最終更新日 2005年 2月 28日
更新履歴

掲載日 2005年 2月28日
独立行政法人 情報処理推進機構
セキュリティセンター


 Java アプリケーションのイントールプログラム等の中には、インストール時にクライアントの Java 環境のセキュリティポリシー(以下:ポリシー)を書換えるものがあります。

 Java のセキュリティモデルでは、ポリシーを使用して、Java アプリケーション等の権限を制御できます。また、ポリシーの適用範囲は細かく制御でき、必要な個所にだけ必要な権限を与えることができます。

 しかし、Java アプリケーションのインストールプログラム等の中には、もともと設定されているポリシーを上書きして消してしまったり、ポリシーの適用範囲を制限していないものがあります。これにより、他の Java アプリケーションが動作しなくなったり、ネットワーク上に仕掛けられた罠により、クライアントが第三者への攻撃の踏み台にされる可能性があります。

 システム構築事業者の方は、このような不適切なポリシー設定により、クライアントのセキュリティレベルを低下させないよう、改めて注意するとともに、以下の点の確認をお願いします。

※ ポリシーファイルは、標準の設定では以下の場所に作成されます。

 ・システムポリシーファイル ({java.home} は Java をインストールした場所)
   {java.home}\lib\security\java.policy (Windows)
   {java.home}/lib/security/java.policy (Solaris)

 ・ユーザポリシーファイル ({user.home} はユーザのホームディレクトリ)
   {user.home}\.java.policy (Windows)
   {user.home}/.java.policy (Solaris)


■必要なポリシーだけを許可する

 ポリシーの適用範囲を制限していても、ファイルを読む "read" だけが必要な場合に "write" まで許可することは好ましくありません。

■適用範囲を制限しないポリシー設定を行わない

 次のような適用範囲を制限していない権限付与(grant)はシステム全体のセキュリティレベルを低下させてしまいます。

--------------------------------------------------------------
grant {
permission java.io.FilePermission "<>", "read";
}
--------------------------------------------------------------

必ず、以下のように署名付きのアプレット単位や、コードベース単位で設定してください。

--------------------------------------------------------------
grant signedBy "foobar", codeBase "http://www.example.jp/*" {
};
--------------------------------------------------------------

■ポリシーの上書きをしない

 ポリシーを設定する際は、必ず元のポリシーに追記する形にし、ポリシーファイル自体の上書きを行わないでください。ポリシーファイルが上書きされた場合、もともと設定されていたポリシーに依存した他の Java アプリケーション等が動作しなくなる可能性があります。


参考情報:
 Java セキュリティアーキテクチャ (3.3 java.security.Policy)

 http://java.sun.com/j2se/1.5.0/ja/docs/ja/guide/security/spec/security-spec.doc3.html#20128

 セキュアプログラミング講座 (第3章 セキュアJavaプログラミング)

 http://www.ipa.go.jp/security/awareness/vendor/programming/a03_01.html


お問い合わせ先


独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
TEL:03-5978-7527 FAX:03-5978-7518

E-mail:

更新履歴

2005年 2月28日

公開

2005年 2月28日

まぎらわしい表現を修正

 次へ  前へ

▲このページのTOPへ      HOME > IT7掲示板



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。