62.html

写给JSP初级程序员的书

<html>

<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">

<meta name="description" content="Java,JDBC,EJB,Open Source,jdk,rmi">
<meta name="Keywords"
content="Java, servlets, Java servlet, Javascript, ActiveX, VRML,
        applet, applets, directory, news, jdbc, applications, 
        Java applications, Java developer, Java development, developer, 
        classes, Jars.com, Jars, intranet, Java applet, Javabeans, 
        Java products, JDK, Java development kit, java development environment, JIT,
        JavaPlan, enterprise tools, JVM, Java Virtual Machine, Java resources, 
        SUN, CGI, Perl, database, network, html,
        xml, dhtml, rating, ratings, review, jars, cgi, programming,
        software review, software rating">
<title>csdn_慎防恶意的Java Applet</title>
<style>
.news {   BACKGROUND: #007cd3;  font-family: "宋体"; font-size: 9pt }
.t {  font-family: "宋体"; font-size: 9pt }
.t1 { color:#007cd3;  font-family: "宋体"; font-size: 9pt }
.white { font-family: "宋体"; font-size: 9pt;color:#FFFFFF }
.red { font-family: "宋体"; font-size: 9pt;color:#FF0000 }
A:visited {color:#0000FF}
A:hover {color: #ff6666; text-decoration: none}
.text {font-size: 12px; line-height: 160%; font-family: "宋体"}
.text1 {color:#000000; font-size: 12px; line-height: 130%; font-family: "宋体"; text-decoration: none}
.text1:visited {color:#000000}
.text1:hover {color: #000000}
.text2 {color:#000000; font-size: 12px; line-height: 130%; font-family: "宋体"; text-decoration: none}
.text2:visited {color:#000000}
.text2:hover {color: #000000}
.text3 {font-size: 12px; line-height: 100%; font-family: "宋体"; text-decoration: none}
.large {font-size: 14.8px; line-height: 130%}
</style>
</head>

<body


<center>




  <tr>
    <td WIDTH="100%" VALIGN="TOP">
      <tr>
        <td WIDTH="100%" CLASS="white"></td>
      </tr>
    
      <tr>
        <td WIDTH="50%" bordercolor="#FFFFFF" CLASS="t1" bgcolor="#F0F0F0" align="center" nowrap>慎防恶意的Java Applet  </td>
     <p></p>
      </tr>
      <tr>        <td WIDTH="100%" bordercolor="#FFFFFF" CLASS="t" bgcolor="#F0F0F0" colspan="2">
        <span 
              class=newsconts>在传统的应用开发中，开发人员常常为了将为一种机器平台开发的程序移植到其它的平台上而感到头痛，Java的出现大大减轻了开发人员的这种负担，它的“一次编成，到处运行（Write 
                    Once，Run Anywhere）”的功能使开发人员能够开发出跨系统跨平台运行的应用程序。现在各种Java应用中都大量使用了Java 
                    applet，它是一种特殊的Java小程序，这些applet能够给人们带来更为活泼更具吸引力的Web页面。各种具有Java功能的浏览器，如Netscape 
                    Navigator、Microsoft Internet Explorer（MSIE）等，会自动下载并执行内嵌在Web页面中的 
                    Java applet。<br>
                    <br>
                    　　然而，Applet在给人们带来好处的同时，也带来了潜在的安全隐患。它使applet的设计者有机会入侵他人的机器。实事求是的讲，这个世界上没有一个电脑系统是百分之百安全的， 
                    但由于现在Internet和Java在全球应用得越来越普及，因此人们在浏览Web页面的同时也会同时下载大量的Java 
                    applet，就使得Web用户的机器面临的安全威胁比以往任何时候都要大。<br>
                    <br>
                    　　上述问题到目前为止还没有一种完全的解决方法。好在现在Java 的设计者已注意到了这一点，并尽其所能加以限制， 例如，在 
                    JDK1.1 版中就采用逐渐流行的数字签名技术以减少applet可能造成的危险。 尽管如此，目前Web用户的机器还是很容易受到applet的攻击，而且现在用户能够采取的对策并不多。在Java 
                    applet 四处充斥的今天，人们使用具有 Java功能的浏览程序之时，对于浏览的网页的地点就不能不多加留意。<br>
                    <br>
                    　　Web页面中的执行文件到底会带来什么样的潜在危险呢？大致上可分为四类∶更改系统、侵犯隐私权、非法入侵攫取资源、与使用者敌对。<br>
                    <br>
                    恶意之1∶更改系统 <br>
                    <br>
                    　　像 Java 这样功能强大的程序语言，不管是在电脑的硬盘上还是在文件系统中，都具有修改数据的能力。 Java 中包含有许多预先定义好的类(class)，其中的方法(method) 
                    可以删除或修改文件、更改使用中的磁盘内容、杀掉执行程序或其执行线程 (thread)。 这些功能很有可能会被applet的设计者滥用。更改系统可能是所有潜在危险中最严重的一种，Java 
                    的设计者对于限制此类危险已花费了很大的心思；相反的，ActiveX 则对其引发的可能结果尚未加以限制。<br>
                    <br>
                    　　所谓的更改系统包括入侵系统。在不安全的使用 Java时，可能会被applet发现攻击的路径。 由于黑客 (hacker) 
                    们总是想方设法利用各种手段入侵他人的电脑系统 ( 取得进入系统与使用权限 )，而我们用户能做的不过是小心使用Java而已，因此保证Java运行环境的安全最主要的还是Java设计者的责任，Java设计得必须保证在用户下载applet时没有其他进入系统的安全漏洞产生。<br>
                    <br>
                    　　由于Java 可在多种操作平台上运行，因此恶意的applet只要在其中一种操作系统(例如Solaris) 上攻击成功， 
                    在攻击其它作业系统 ( 例如 Windows NT) 时也能得逞。因此Java在带来应用程序跨平台执行的同时，也带来了恶意applet的这种跨平台攻击的可能性。<br>
                    <br>
                    　　利用 Java 来入侵电脑系统并非不可能的事情。曾发现许多目前已知的 Java安全漏洞的美国普林斯顿大学安全Internet编程小组(Safe 
                    Internet Programming Team)，就在实验室中展示了这种攻击型的 applet。虽然，目前针对已发现的一些安全漏洞已经提供了一些“补丁(patch)”程序， 
                    但其它更为复杂的攻击仍可能潜藏着而未被人们发现。<br>
                    <br>
                    　　在如今各种重要的电脑系统中，这种更改系统型的 applet 攻击对数据造成的破坏是非常严重的。如它可能会破坏一些表面上看来很安全的数据库中的财务记录，导致公司财务损失而破产；或者是窜改医院中病人的病情数据，导致医疗不当，甚至因此导致病人死亡。所以在目前未能打到解决方案的情况下，对Java 
                    applet的使用要非常小心，不要让重要的数据系统暴露在这种新型的攻击危险中。<br>
                    Internet这种全球最开放的系统几乎可以称得上是电脑黑客们的乐园，这从Internet上层出不穷的入侵事件便不难看出。因此如何使 
                    Java 不致于成为为他们的破坏工具，不管是对开发员来讲还是对用户来讲都是一个重要的课题。<br>
                    <br>
                    恶意之2∶侵犯隐私权<br>
                    <br>
                    　　第二种类型的攻击，就是暴露他人电脑主机的秘密数据。例如，在 Unix 系统中如能访问/etc/passwd( 记录系统中所有使用者的姓名与密码 
                    )这个文件，就有可能入侵整个系统 。<br>
                    <br>
                    　　另外，电脑系统也可能会造成一些敏感性资料的泄露，例如必术不正的公司可以利用商业间谍偷取对手公司的业务计划。个人用户对于其私人的电子邮件或财务记录是否可以公开也要慎重考虑，任何可藉由电子邮件传送或经由网络传递的秘密资料，都有可能受到入侵。<br>