• 主题
高级搜索  >
历史搜索 清空历史
首页> 外文期刊>情報処理学会論文誌 >Javaアプレット保護ツールCoziletのJava Web Startおよび署名なしプログラムヘの適用
【24h】

Javaアプレット保護ツールCoziletのJava Web Startおよび署名なしプログラムヘの適用

机译:Java小程序保护工具Cozilet在Java Web Start和未签名程序中的应用

获取原文
获取原文并翻译 | 示例
           
页面导航
  • 摘要
  • 著录项
  • 相似文献
  • 相关主题

摘要

RIA(Rich Internet Application)とよばれるWebアプリケーションのクライアント側技術が広く利用されているが,信頼されたプログラムが攻撃者に悪用されるという問題がある.我々は過去に,RIAの1つであるJavaアプレットについて,再構成攻撃という攻撃により署名付きJavaアプレットが悪用される危険性を指摘した.そして,開発者の注意だけでは対策が難しいことから,Coziletと称する対策ツールを作成した.本ツールは対象のアプレットをカプセル化することにより再構成を防ぐ.また,対象アプレットおよびJava Plug-in実行環境に対して透過的なので容易に適用できる.しかし,本ツールの対象は署名付きアプレットに限定されていた.再構成攻撃は署名付きアプレットだけの間題ではなく,アプレットに似たJavaベースのRIAであるJava Web Startアブリケーション,そして,署名されずにポリシファイルでアクセス権を与えられるプログラムもこの攻撃の対象となりうる.我々はこれらのプログラムに対しても再構成攻撃が可能であることを示し,本ツールを改良することで対処した.本論文ではその詳細について説明する.%Client-side technologies of Web applications, called RIA (Rich Internet Application), are widely used, but an attacker may abuse trusted RIA components. In the past, we showed that a Java applet which is a kind of RIA was vulnerable to an attack which we called a malicious recomposition attack. It is difficult for developers to prevent this attack only through their careful design and programming. Therefore, we developed a prevention tool called Cozilet. The tool prevents recomposition of applet components by encapsulating them, and is easily applicable to applets because it is transparent not only to applets, but also to Java Plug-in implementations. However, the tool was applicable only to signed applets. The attacks affect not only signed applets, but also Java Web Start which is Java based RIA like applets and unsigned trusted Java programs which are granted permissions by access control lists called policy files. We showed that these programs were also vulnerable to the attacks, and remedied them by improving the tool. In this paper, we describe details of the attacks and countermeasures.
机译:Web应用程序的客户端技术称为RIA(富Internet应用程序)已被广泛使用,但是存在一个问题,即攻击者滥用了受信任的程序。过去,我们指出了签名Java小程序可能被称为重新配置攻击的攻击滥用的风险,该攻击是RIA Java小程序之一。由于仅靠开发人员的注意很难采取对策,因此创建了一种称为Cozilet的对策工具。该工具通过封装目标小程序来防止重新配置,并且易于使用,因为它对目标小程序和Java插件执行环境是透明的。但是,此工具的目标仅限于签名的小程序。重新配置攻击不仅限于已签名的applet,而是Java Web Start应用程序,它是类似于applet的基于Java的RIA,并且未签名且可以访问策略文件的程序也受到此攻击。可。我们已经表明可以对这些程序执行重新配置攻击,并且我们已经通过改进此工具解决了这一问题。本文介绍了详细信息。 Web应用程序的客户端技术(称为RIA(Rich Internet Application))已被广泛使用,但是攻击者可能会滥用受信任的RIA组件。过去,我们表明,作为RIA的Java applet容易受到攻击。我们将其称为恶意重组攻击,开发人员仅通过精心设计和编程就很难阻止这种攻击,因此,我们开发了一种名为Cozilet的预防工具,该工具通过封装将小程序组件进行重组,并且很容易适用于Applet,因为它不仅对Applet透明,而且对Java Plug-in实现都是透明的,但是该工具仅适用于签名Applet,这些攻击不仅影响签名Applet,而且还影响基于Java的RIA Java Web Start如小程序和未签名的受信任Java程序,它们被称为策略文件的访问控制列表授予了权限。我们证明,这些程序也容易受到攻击,并通过改进工具对它们进行了补救。在本文中,我们描述了攻击的详细信息和对策。

著录项

相似文献

  • 外文文献
  • 中文文献
  • 专利
获取原文

客服邮箱:kefu@zhangqiaokeyan.com

京公网安备:11010802029741号 ICP备案号:京ICP备15016152号-6 六维联合信息科技 (北京) 有限公司©版权所有

  • 客服微信

  • 服务号