最近,我们进行了安全审核,发现了我们系统中的漏洞。 我们有一个非常简单的自定义Web服务器,用于提供资源(html帮助文件,图像,jar文件)
我们的应用程序是java Webstart,jnlp在服务器上生成,当在浏览器中加载时,它调用我们的web服务器来下载应用程序所需的jar文件。最后,当应用程序启动时,将向用户提示登录屏幕。
但您可以输入浏览器并能够下载jnlp在场景后面执行的任何jar,这个事实被视为安全漏洞。主要担心的是,未经过身份验证的用户无需拥有有效帐户即可访问我们的jar文件。
我的问题是: 1.安全漏洞声明是否合理,因为jar文件需要在登录屏幕之前到达客户端计算机 2.如果问题是合理的,我如何保护对应用程序jar文件的访问?
谢谢 - 的Marius
答案 0 :(得分:1)
在不知道您最终要保护的内容的情况下,我不知道暴露JNLP资源是否存在安全漏洞。但是,如果您绝对需要限制对经过身份验证的用户访问JNLP资源,我相信您可以通过SSL进行相互身份验证的整个Java Web Start会话。当然,这意味着双方的证书交换和安装。