Java Applet
Java applet is a program that is usually embedded in a web page. Client browsers may automatically download Java applets for execution. Nevertheless, Java system restricts its applets to a set of safe actions known as “sandboxing” making them difficult to damage the file system or the boot sector of a client computer. When developing Java applets, developers should design and restrict access of Java applets to designated directories, files and OS properties.
The following areas should also be considered at the client side where Java applets will be running:
• Tighten the security controls on Java's compilers, interpreters and generators.
Javaアプレットは、プログラム一つで通常ウェブページに組み込まれています。クライエントブラウザは自動的にJavaアプレットをダウンロードし実行します。しかし、Javaシステムはアプレットの「サンドボックス化」という安全に動作させるための制限を課しています。これによりクライエントコンピューターのファイルシステムやブートセクターへ傷害を与えることを困難にしています。Javaアプレットの開発に際して、開発者はJavaアプレットのアクセスを指定したディフォルト、ファイル、OSプロパティに限定するように設計しなければなりません。
Javaアプレットが実行されるクレイエント側で以下の点について考慮する必要があります。
•Javaコンパイラー、インタープリター、ジェネレーターに対するセキュリティを強化する。
Java アプレットは、通常、ウェブページに埋め込まれており、ブラウザ・クライアントが自動的にダウンロードして実行するものです。 ただし、ファイルシステムやブートセクタが破損しないように、Javaシステムがアプレットの動作を安全なものに限定しており、これは "sandboxing" (砂場に囲い込むこと)と呼ばれています。従い、Javaアプレットを開発する際には、ディレクトリ、ファイルやOS領域の指定領域のみにアクセスするように設計する必要があります。
また、クライアント側として、Javaアプレットが動作する領域を以下にする事も考慮する必要があります。
・Javaのコンパイラ、インタプリタおよびジェネレータに対してセキュリティ制限を強化する
![[削除済みユーザ]](https://secure.gravatar.com/avatar/695023b4efd563721d13716b1457bc73.png?d=identicon&mode=crop&r=PG&s=42)
Javaアプレットは通常ウェブページに埋め込まれているプログラムである。クライアントのブラウザは自動的にJavaアップレットを実行するためにダウンロードする。それにもかかわらず、Javaシステムはそのアプレットがsandboxingとして知られるようなファイルシステムやクライアントのコンピュータのブートセクションにダメージを与えることを難しくする一連の安全行動を制限している。Javaアプレットを開発しているときに、開発者はJavaアプレットが目的とするディレクトリ、ファイルおよびOSの資産にアクセスすることを設計として制限している。次に示す領域はJavaアプレットが稼働しているクライアント側にあると考えられる。
・Javaのコンパイラ、インタプリタおよびジェネレータにおける安全管理を強化すること。
Remove these compilers, interpreters and generators whenever not required in the production environment.
• Keep up-to-date information about security vulnerabilities of Java system and Java applets, and apply latest patches.
• Select “Disable Java applet” on the browser to prohibit running of Java applet if it is not required.
ActiveX
ActiveX is a software control which can be used to create distributed applications working over the Internet through web browsers. ActiveX controls are designed to allow web browsers to download and execute them. ActiveX controls are composed and embedded in web pages, but there are no restrictions on what they can do. For example,
•Javaシステム、Javaアプレットのセキュリティ上の脆弱性に関する最新を常に入手し最新のパッチを適用すること。
•必要がない時にJavaアプレットが実行されるのを防ぐためにブラウザでは「Javaアプレットを無効にする」を選択すること
ActiveX
ActiveXはブラウザ経由でインターネットを通じて動作する分散型アプリケーションを作成するために使用できるソフトウェアコントロールです。ActiveXコントロールはウェブブラウザがダウンロードし実行できるように設計されています。ActiveXコントロールはウェブページに組み込まれますが、それが行うことに関しては制限がありません。例えは
・JavaシステムやJavaアプレットの脆弱性に関する情報をつねにチェックし最新のパッチを当ててください。
・Javaアプレットが不必要な場合、ブラウザ上で "Javaアプレットを停止"を選択し、その実行を禁止してください。
ActiveX
ActiveXは、配布されたアプリケーションを、ウェブ・ブラウザ経由でネットから制御して動作させるソフトで、ブラウザがダウンロードして実行します。 ウェブページの中で作成、実装されますが、動作に関する制限はありません。例えば、
・JavaシステムおよびJavaアプレットに関する安全性の脆弱性の最新の情報を絶えず更新して、最新のパッチを適用すること。
・Javaアプレットが必要ではない時にはJavaアプレットの稼働を禁止するようにブラウザの「Disable Java applet」を選択すること。
ActiveX
ActiveXはウェブブラウザを介してインターネット上で稼働する配布されたアプリケーションを造るために利用されるソフトウェアコントロールの一種である。ActiveXコントロールはウェブブラウザがダンロードしてそれらを実行することを許可するように設計されている。ActiveXコントロールはウェブページに構成され埋め込まれているが、それらが実行可能な内容について何ら制限をしていない。たとえば、
ActiveX is allowed to reside on a system, or even wipe out the data or write to the local hard disk without users’ discretion. Moreover, the browser is not capable of recording down what actions the ActiveX controls have been performed on the client machine.
ActiveX security relies on user judgement. A software author can apply digital signature technology, which is certified by a certification authority, onto an ActiveX control. In this way, the client can verify the signature before deciding to either accept or reject the control based on the author’s identity. Bearing in mind that digital signatures only tell who wrote the ActiveX controls but could not help to decide whether they are trusted or not.
ActiveXのセキュリティは、ユーザーの判断に依存しています。ソフトウェアの作成者は、ActiveXコントロールに、認証機関によって認定されるデジタル署名技術を適用することができます。このような方法で、クライアントは、作成者のIDに基づいて制御を受け入れるか拒否するかを決定する前に、署名を検証することができます。デジタル署名は、単に誰がActiveXコントロールを書いたかを示すだけで、彼らが信頼されているかどうかを決定する助けにはならないことを覚えておいてください。
ActiveXのセキュリティーはユーザーの判断に依存している。ソフトウェアの著作者は電子署名テクノロジーを採用でき、そしてそれはActiveXコントロール上の証明権限により証明される。このようにクライアントは著作者の特定に基づいてコントロールを受け入れるか拒絶するかを判断する前に署名を確認できる。電子署名はActiveXコントロールを誰が書いたを示すに過ぎないということを心に留めても、しかしそれらが信用すべきか否かを判断することには役立たないだろう。
One should always carefully consider and accept only those controls from trusted sources, or one should evaluate and disable “ActiveX controls and plug-ins” in the browser settings to prohibit running of unnecessary ActiveX on the system.
Cookies
Cookies are mechanisms used by server side to store and retrieve information from client side. They are objects, which provide state information of the client to the server such as descriptions of accessed URLs, client user's email addresses and sensitive information. An attacker can masquerade as the server to retrieve cookies from the client.
クッキー
クッキーは、クライアント側の情報を格納および取得するために、サーバ側で使用されるメカニズムです。クッキーは、アクセスされたURL、クライアントユーザーの電子メールアドレスや機密情報の記述として、サーバーにクライアントの状態情報を提供するオブジェクトです。攻撃者は、クライアントからクッキーを取得するためにサーバーになりすますことができます。
クッキー
クッキーはサーバー側で使用されるクライアント側からの情報を蓄え、取り出すための機構である。それらはオブジェクトであり、アクセスされたURL、クライアントのユーザメールアドレスや微妙な情報記述などをクライアントの状態情報をサーバーに提供する。攻撃者はクライアントからのクッキーを取り出しすためのサーバーとしての仮面をかぶることが出来る。
Excellent!