发信人: jia()
整理人: emil(1999-05-08 13:02:21), 站内信件
|
发信人: Gold (我心依旧), 信区: HTML
标 题: 警惕Java和ActiveX的applets
发信站: 广州蓝天站 (Sun Jul 5 01:35:49 1998), 转信
发信人: "windrose" <[email protected]>, 信区: HTML
最近发现,Java、ActiveX或其他基于HTML的小程序,能够访问用户硬盘上
的文件并将文件内容泄漏出去。
这样一些小程序是相当有效的,它们采用的都是合法的程序功能,能够打开
网络连接、读写文件、破坏文件,但通常不会是毁灭性的,更多地是窃取和拷贝
文件。
请访问 http://www.withinreach.co.il/hostiles/
这个站点演示了一些Java和ActiveX的applets,具有读取本地机器上Win95
的注册表、读取本地机器上的文件、在本地硬盘上创建目录和文件等功能。
我用NC4.05访问了这个站点并进行了Personalinfo和WeatherReport两个测
试。前者读取了我的一个.pwl文件的内容并显示了出来;后者表面上显示天气预报,
但背地里在我的C盘上创建了一个/hostile的目录并放进去了几个文件。
需要说明的是,在上面提到的两个Java程序做那些事情之前,NC4.05发出了
警告,提示程序将进行的行为具有高风险(high risks),询问我是否授权其继
续进行,为了取得测试结果,我点击了Grant进行授权。
为了保证applet的安全性,IE和NC都采取了以授权证书(certificate)显示其
合法性的做法。而当NC发出前述警告时,我都看到了有效的授权证书(点击
Certificate)。由此可以得到一个教训,今后遇到applet的时候,即使具备有效的
授权证书也不能轻易相信,时刻保持警惕才是最好的安全措施。
--
※ 来源:.广州网易 BBS bbs.nease.net.[FROM: 202.96.61.236]
|
|