Hehe. Nekem csak a 64-bites van fenn a JDK7-ből, és azt böngészőben csak a games.asobrain.com-on használom. Megvédett a tény, hogy firefoxból meg chromeból még nincs 64 bites :) Amúgy szép kis bug.<br><br><div class="gmail_quote">
2012. augusztus 30. 12:51 Peter Verhas írta, <span dir="ltr"><<a href="mailto:peter@verhas.com" target="_blank">peter@verhas.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="word-wrap:break-word"><h6><span><span><a href="http://nakedsecurity.sophos.com/2012/08/28/unpatched-java-exploit-spreads-like-wildfire/?utm_source=Naked+Security+-+Sophos+List&utm_medium=email&utm_campaign=080ad38316-naked%252Bsecurity" rel="nofollow nofollow" target="_blank">http://nakedsecurity.sophos.com/2012/08/28/unpatched-java-exploit-spreads-like-wildfire/?utm_source=Naked+Security+-+Sophos+List&utm_medium=email&utm_campaign=080ad38316-naked%252Bsecurity</a><br>
<br>
Milyen jó, hogy minden, széles körben használt szoftvert, amit a
nyugati világ kifejleszt a Kínai Népköztársaság szorgos munkatársai
rendkívül részletes biztonsági auditnak vetnek alá.<br> <br> Az az apró
pici probléma, hogy a riporting stílusuk egy kicsit rendhagyó.
Legalábbis nem a megszokott a mi kultúránkban. De hát ez a kultúrák
különbsége.<br> <br> És akkor most az összes böngészőben Java applet futtatása kikapcsol.</span></span></h6><div><li><div><div></div></div></li><li><ul><li><div><br><a href="https://www.facebook.com/verhas/posts/276642845783809?notif_t=like#" rel="async-post" target="_blank"></a><div>
<div><a href="https://www.facebook.com/rasztasd" target="_blank">Daniel McAllister</a> <span>Java
1.6 ftw. Amúgy meg elvileg bármennyire "biztonságos" Java-t futtatni,
mert hogy sandboxban fut meg miegymás, de sosem futtatok third party
(nem saját, céges stb.) Java-t.</span><span></span></div><div><a href="https://www.facebook.com/verhas/posts/276642845783809?comment_id=1208921&offset=0&total_comments=2" target="_blank"><abbr title="2012. augusztus 30., 12:38">12 perce</abbr></a> </div>
</div></div></li><li><div><div><div><div><a href="https://www.facebook.com/verhas/posts/276642845783809?notif_t=like#" rel="toggle" target="_blank"></a></div></div></div><div><div><a href="https://www.facebook.com/verhas" target="_blank">Peter Verhas</a> <span><div>
Mit jelent az, hogy sandbox-ban fut?<br> <br>
Azt jelenti, hogy 1.) a JVM nem hajlandó futtatni olyan kódot, amelyik
privilegizált, csak a runtime (kvázi "kernel mód") számára szánt
osztályokat akar használni, 2.) a java.lang.System SecurityManager<div>
ellenőrzi, hogy milyen fájlt akar írni a program, milyen más
erőforráshoz akar hozzáférni. Például azt is ellenőrzi, hogy át akarja-e
a program állítani a SecurityManager-t.<br> <br> Az 1. pontot könnyen
ki lehet kerülni, mert minden belső osztályra reflectionnal hivatkozok,
így a bytekódban nem jelenik meg olyan osztályra való hivatkozás, amit a
JVM class loader kivág. A stringeket már nem ellenőrzi, mert az már
program analízis lenne, és soha az életben nem töltődne be és indulna el
egy program sem. Már az is időigényes, amit most megtesz.<br> <br> A 2.
pont úgy van implementálva (nem is lehet másként), hogy minden olyan
eljárás, ami valami védett információhoz tud hozzáférni (pl. át tudja
állítani a System osztály statikus security mezőjét) előtte megkérdezi a
SecurityManager-t (ha van, és nem null a System security), hogy
szabad-e. A mostani hiba abból fakad, hogy kínai kollégáink találtak az
1.7.0.6 release-ben egy olyan metódust, amelyik az 1.6-ban még nem volt,
és amelyikkel úgy lehet átállítani a security manager-t, hogy előtte
nem kérdezik meg tőle, hogy ki lehet-e őt kapcsolni.<br> <br> Innen kezdve pedig szabad a pálya.<br> <br> "de sosem futtatok third party (nem saját, céges stb.) Java-t"<br> <br> Biztos vagy benne, vagy csak nem vetted észre?</div>
</div></span><span></span></div><div><a href="https://www.facebook.com/verhas/posts/276642845783809?comment_id=1208943&offset=0&total_comments=2" target="_blank"><abbr title="2012. augusztus 30., 12:48"></abbr></a></div>
</div></div></li></ul></li><div><font color="#888888" face="Helvetica"><br></font></div></div><div><div style="word-wrap:break-word;font-family:Helvetica"><span style="border-collapse:separate;font-family:Helvetica;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;font-size:medium"><div style="word-wrap:break-word">
<div><span style="color:rgb(136,136,136)">Verhás Péter</span><span style="color:rgb(136,136,136)"><br></span><span style="color:rgb(136,136,136)"></span><span style="color:rgb(136,136,136)"><a href="mailto:peter@verhas.com" target="_blank">peter@verhas.com</a></span><span style="color:rgb(136,136,136)"><br>
</span><span style="color:rgb(136,136,136)"><a href="tel:%2B36%2830%299306805" value="+36309306805" target="_blank">+36(30)9306805</a></span><span style="color:rgb(136,136,136)"><br></span><span style="color:rgb(136,136,136)">skype: verhas</span></div>
</div></span><br></div><br><br>
</div>
<br></div><br>_______________________________________________<br>
Javalist mailing list<br>
<a href="mailto:Javalist@lists.javaforum.hu">Javalist@lists.javaforum.hu</a><br>
<a href="http://lists.javaforum.hu/mailman/listinfo/javalist" target="_blank">http://lists.javaforum.hu/mailman/listinfo/javalist</a><br>
<br></blockquote></div><br>