更新 java 桌面应用程序的安全威胁
Security threats to updating a java desktop application
我正在查看我的 java 应用程序在进行更新时面临的安全威胁。
也在寻找更新我的应用程序的方法。如果需要紧急更新,它将被强加给用户。另外,这些更新方式的安全问题是什么?
你需要更具体一些。您使用什么机制来更新您的应用程序?
例如,更新您的应用程序的一种方法是替换单个 class 文件。
通常,您必须检查更新的来源。可能的攻击者可能会尝试伪造更新(class-文件)以进入主机。为了应对这种威胁,您应该使用私钥对您的更新进行签名,并使用您的 public 密钥来检查签名是否有效。 (总的来说,你应该签署你的applications/jar-files)(Java Code Signing)
如果攻击者试图诱骗用户安装一些被操纵的更新,代码签名也很有用。
如果您使用对象序列化,则需要注意其他要点(Object (De-)Serialization Vulnerabilities)
Whosebug 关于更新 java 应用程序的另一个问题:How can I write a Java application that can update itself at runtime?
我正在查看我的 java 应用程序在进行更新时面临的安全威胁。 也在寻找更新我的应用程序的方法。如果需要紧急更新,它将被强加给用户。另外,这些更新方式的安全问题是什么?
你需要更具体一些。您使用什么机制来更新您的应用程序?
例如,更新您的应用程序的一种方法是替换单个 class 文件。 通常,您必须检查更新的来源。可能的攻击者可能会尝试伪造更新(class-文件)以进入主机。为了应对这种威胁,您应该使用私钥对您的更新进行签名,并使用您的 public 密钥来检查签名是否有效。 (总的来说,你应该签署你的applications/jar-files)(Java Code Signing) 如果攻击者试图诱骗用户安装一些被操纵的更新,代码签名也很有用。
如果您使用对象序列化,则需要注意其他要点(Object (De-)Serialization Vulnerabilities)
Whosebug 关于更新 java 应用程序的另一个问题:How can I write a Java application that can update itself at runtime?