Java Applet
Java applet is a program that is usually embedded in a web page. Client browsers may automatically download Java applets for execution. Nevertheless, Java system restricts its applets to a set of safe actions known as “sandboxing” making them difficult to damage the file system or the boot sector of a client computer. When developing Java applets, developers should design and restrict access of Java applets to designated directories, files and OS properties.
The following areas should also be considered at the client side where Java applets will be running:
• Tighten the security controls on Java's compilers, interpreters and generators.
Javaアプレット
Javaアプレットは、プログラム一つで通常ウェブページに組み込まれています。クライエントブラウザは自動的にJavaアプレットをダウンロードし実行します。しかし、Javaシステムはアプレットの「サンドボックス化」という安全に動作させるための制限を課しています。これによりクライエントコンピューターのファイルシステムやブートセクターへ傷害を与えることを困難にしています。Javaアプレットの開発に際して、開発者はJavaアプレットのアクセスを指定したディフォルト、ファイル、OSプロパティに限定するように設計しなければなりません。
Javaアプレットが実行されるクレイエント側で以下の点について考慮する必要があります。
•Javaコンパイラー、インタープリター、ジェネレーターに対するセキュリティを強化する。
Remove these compilers, interpreters and generators whenever not required in the production environment.
• Keep up-to-date information about security vulnerabilities of Java system and Java applets, and apply latest patches.
• Select “Disable Java applet” on the browser to prohibit running of Java applet if it is not required.
ActiveX
ActiveX is a software control which can be used to create distributed applications working over the Internet through web browsers. ActiveX controls are designed to allow web browsers to download and execute them. ActiveX controls are composed and embedded in web pages, but there are no restrictions on what they can do. For example,
実稼働環境では必要のない場合、コンパイラーやジェネレーターは削除する。
•Javaシステム、Javaアプレットのセキュリティ上の脆弱性に関する最新を常に入手し最新のパッチを適用すること。
•必要がない時にJavaアプレットが実行されるのを防ぐためにブラウザでは「Javaアプレットを無効にする」を選択すること
ActiveX
ActiveXはブラウザ経由でインターネットを通じて動作する分散型アプリケーションを作成するために使用できるソフトウェアコントロールです。ActiveXコントロールはウェブブラウザがダウンロードし実行できるように設計されています。ActiveXコントロールはウェブページに組み込まれますが、それが行うことに関しては制限がありません。例えは
ActiveX is allowed to reside on a system, or even wipe out the data or write to the local hard disk without users’ discretion. Moreover, the browser is not capable of recording down what actions the ActiveX controls have been performed on the client machine.
ActiveX security relies on user judgement. A software author can apply digital signature technology, which is certified by a certification authority, onto an ActiveX control. In this way, the client can verify the signature before deciding to either accept or reject the control based on the author’s identity. Bearing in mind that digital signatures only tell who wrote the ActiveX controls but could not help to decide whether they are trusted or not.
ActiveXは、システム上に存在すること、あるいはデータを一掃することやユーザーの判断なしでローカルハードディスクへの書き込みも許可されています。また、ブラウザは、ActiveXコントロールがクライアントマシンで実行したアクション記録することができません。
ActiveXのセキュリティは、ユーザーの判断に依存しています。ソフトウェアの作成者は、ActiveXコントロールに、認証機関によって認定されるデジタル署名技術を適用することができます。このような方法で、クライアントは、作成者のIDに基づいて制御を受け入れるか拒否するかを決定する前に、署名を検証することができます。デジタル署名は、単に誰がActiveXコントロールを書いたかを示すだけで、彼らが信頼されているかどうかを決定する助けにはならないことを覚えておいてください。
One should always carefully consider and accept only those controls from trusted sources, or one should evaluate and disable “ActiveX controls and plug-ins” in the browser settings to prohibit running of unnecessary ActiveX on the system.
Cookies
Cookies are mechanisms used by server side to store and retrieve information from client side. They are objects, which provide state information of the client to the server such as descriptions of accessed URLs, client user's email addresses and sensitive information. An attacker can masquerade as the server to retrieve cookies from the client.
常に慎重に検討し、信頼できるソースからのみコントロールを受け入れるか、または、システム上で不要なActiveXの実行を禁止するようにブラウザの設定で、"ActiveXコントロールとプラグイン"を評価し、無効にする必要があります。
クッキー
クッキーは、クライアント側の情報を格納および取得するために、サーバ側で使用されるメカニズムです。クッキーは、アクセスされたURL、クライアントユーザーの電子メールアドレスや機密情報の記述として、サーバーにクライアントの状態情報を提供するオブジェクトです。攻撃者は、クライアントからクッキーを取得するためにサーバーになりすますことができます。
