[Java] Relatieve paden

Ik zou dit eens diagonaal doorlezen

Als je problemen hebt met rechten, moet je een Policy bestand maken en deze bekent maken aan de SecurityManager. (java -Djava.security.manager -Djava.security.policy=myPolicy.policy) Met de juiste policy kan je alles doen met een applicatie, applet of javafx. Zonder policy file kan je ook al vrij veel.

voorbeeld van een policy file


http://download.oracle.co...security/permissions.html

Als je paden langer dan 255 karakters wilt moet je \\?\ voor het pad zetten.

[ Voor 75% gewijzigd door Cobalt op 05-02-2011 21:02 ]

Je kan met een policy file de rechten beperken tot wat echt noodzakelijk is voor jouw applicatie, applet of JavaFX applet. Hiervoor heb je geen toestemming van de gebruiker nodig.

Een Java applicatie krijgt standaard redelijk wat rechten. Deze kan je verruimen tot wat je nodig hebt. Zolang je binnen de rechten van de user die de applicatie uitvoerd blijft heb je geen toestemming nodig.

Java applets en JavaFX applets (eigenlijk alle applicaties die via Java WebStart gerunt worden) hebben beperkte rechten en runnen in een soort van sandbox modes. Zodra je de jar signeerd kan je deze applets meer rechten geven d.m.v. een policy file.

Mocht de applicatie meer rechten nodig hebben dan de user die de applicatie uitvoerd en de standaard Java policy. Dan kan je niet anders dan zelf een policy maken met de benodigde rechten. En eventueel het process zelf naar een hoger user niveau tillen dat wel de juiste rechten heeft. (Als je hiernaar opzoek bent kan je zoeken naar "elevated privilege" of "elevating process" of ShellExecute(). Zo wordt het vaak genoemd voor Windows). Onder Windows XP is het nauwelijks nodig om het proces onder een andere user te runnen met meer rechten. Onder Windows 7 zals je zien dat je veel vaker het process onder een user moet runnen met meer rechten om bepaalde taken te kunnen uitvoeren. Bij applicaties die via Java WebStart gestart worden, vraag de JRE op basis van de policy file zelf om meer rechten.


Het is natuurlijk afhankelijk van wat voor applicatie je schrijft. Maar in de meest ideale situatie, schrijf je een policy file die alle rechten van jouw applicatie beperkt tot dat wat echt noodzakelijk is voor de applicatie. De policy bepaald wat mag in de sandbox waarin jouw applicatie draait. Om te voorkomen dat bij een exploit in jouw applicatie onnodig veel toegang tot het systeem verkregen kan worden.

Interessante linkjes:
http://download.oracle.co...echnotes/guides/security/

http://jaasbook.wordpress.com/ Een poging van Michael Coté om een boek te schrijven over Java Security genaamd JAAS in Action. Dit is nooit uitgegeven in boek vorm. Hij heeft het op zijn site gepubliceerd in 2005.

[ Voor 113% gewijzigd door Cobalt op 06-02-2011 14:52 ]

Een applet kan zichzelf niet meer rechten geven dan de gebruiker toelaat. Om überhaupt iets meer te mogen dan dingen op te vragen van zijn eigen host (same origin policy) moet de applet signed zijn. Als een applet signed is, dan krijgt de applet alle rechten die een normale Java applicatie ook heeft op basis van de standaard policy.

Wat Cobalt beschrijft is juist het omgekeerde: een applicatie (of signed applet) kan zijn eigen rechten beperken met een specifieke policy tov de normale policy, zodat het moeilijker is om de betreffende applicatie te misbruiken. Deze specifieke policy kan echter niet buiten de standaard policy om (als de standaard policy beperkender zou zijn dan AllPermissions.

Remus heeft gelijk.

Op http://download.oracle.co...yment-guide/security.html staat dat als de applicatie om AllPermission vraagt d.m.v. een policy en de applicatie is signed en het certificate zit in een van deze deployment.user.security.trusted.certs of deployment.system.security.trusted.certs keystore dan wordt de applicatie vertrouwd. De user zal wel een popup krijgen, met de vraag of de user het vertrouwd, mocht het certificate nog niet in een van deze keystores zitten.