Trojanisches Java-Applet

Nach meiner Kenntnis können Java Applets nicht auf die Platte des Clients schreiben.

Sie sollten keine Verleumdung der Java Sprache betreiben und solche Falschmeldungen unterlassen.

Wie lautet denn Ihrer Meinung nach der Befehl mit dem die .exe Datei angeblich plaziert worden sein soll ?

 

solange das applet nicht zertifiziert ist: ja.

zertifikate lassen sich aber für kleines geld organisieren...

 

Ist mir völlig unbekannt was "Zertifizierung" ist.

Wer vertreibt denn solche Angebote ?

Und heißt das, daß ein sog. "zertifiziertes" Applet beliebig auf die Platte
schreiben kann ? Das darf doch wohl nicht wahr sein !!!

 

die applets laufen - wie du geschrieben hast - normalerweise in einer sandbox. also gibts keinen zugriff auf lokale ressourcen. das ist aber recht störend, wenn man z.b virenscanner oder treiberupdater schreiben möchte.
desshalb wurde die geschichte mit dem zertifikat nachgeschoben.

die theorie ist folgende: der herausgeber des applets authentifiziert sich und sein applet mit dem zertifikat dem benutzer gegenüber und im gegenzug wird die sandbox weggelassen. das applet hat die selben zugriffsrechte wie der benutzer (also üblicherweise der admin)

nur leider kann halt jeder boon sein zertifikat entweder selber basteln oder sich halt eins kaufen -> das system ist broken by design.

 

Vermute ich richtig daß der Benutzer dann eine Bestätigung klicken muß ?

Offene Punkte :
1. wer hat die Zertifizierung erfunden ( noch SUN ? )
2. wer verkauft solchen nutzlosen und gefährlichen Blödsinn und macht Kohle damit ?
3. ist diese Zertifizierung in der Java API angelegt ?

 

wenn das zertifikat selbstgebastelt ist, wird der benutzer gefragt, ob er xyz vertrauen will - genau wie bei allen anderen selbstzertifizierten zertifikaten.

die geschichte ist noch auf suns mist gewachsen

nachdem das zertifikat über "handelsübliche" rsa schlüssel generiert wird: jede beliebige ca.
das beginnt bei der deutschen telekom, geht über microsoft und verisign und endet beim china internet network information center.
wirf mal einen blick in deine stammzertifikate. ist recht lustig wem man allen "vertrauen" soll/muss...

die zertifizierung hängt an der .jar datei, in der das applet steckt.

 

Stammzertifikate ? Was ist das ?
Wo findet man die unter Windows 7 ?

Habe bisher mit Bestätigung von Zertifikaten nur im IE6 unter Windows CE
zu tun gehabt - unter Windows 7 sind die mir noch untergekommen...

 

das wird jetzt aber langsam ein technik quiz

kurz über die chain of trust ("vertrauenskette"):
prinzipiell kann sich jeder selber ein zertifikat basteln. damit kann man z.b. seinen privaten ssl server füttern oder seine selbstgeschriebenen proggys signieren.
das problem ist offensichtlich: ich selber vertraue mir natürlich - und damit meinem selbst gebastelten zertifikat; aber würdest du einem unbekannten "harald katzler aus fischbach" trauen? eher nicht.

ich kann aber meinen ausweis nehmen und zur nächsten ca gehen (bzw meine daten da hin schicken) und mein selbstbau zertifikat mit deren stammzertifikat signieren lassen. damit bestätigt die ca, dass das zertifikat, das behauptet vom herrn katzler zu sein, auch tatsächlich mir gehört.

dieses signierte zertifikat ist dann (fast) genauso vertrauenswürdig wie das zertifikat der ca selber. ein browser, der das stammzertifikat vorliegen hat, wird die signatur prüfen und das zertifikat (so es zum server passt) akzeptieren.
ich könnte damit (theoretisch) auch selber schlüssel signieren.

der haken sind die stammzertifikate: bei denen beginnt die ganze vertrauenskette, denn die sind - logischerweise - selber nicht signiert! dem aussteller muss man "einfach so" vertrauen - und die zertifikate müssen lokal auf dem rechner vorliegen, damit die abgeleiteten zertifikate geprüft werden können.

ansehen kann man die stammzertifikate unter winxp mit ausführen -> mmc -> datei -> snap-in hinzufügen -> zertifikate. unter vertrauenswürdige stammzertifizierungsstellen
es gibt übrigens ab und zu übers windows update ein entsprechendes update. da kriegst du nicht nur die aktuellen zertifikate, sondern es werden ab und zu auch zertifikate wiederrufen (nicht vertrauenswürdig gemacht) wenn sie in die falschen hände gelangen oder einfach nur ablaufen.