gpt4 book ai didi

java - 需要签名的 Java JNLP 的目的是什么?

转载 作者:塔克拉玛干 更新时间:2023-11-02 07:50:48 25 4
gpt4 key购买 nike

我对安全基础知识和数字签名等知识了解有限。例如,我了解数字签名在公钥密码学中的作用。但是,我不明白为什么必须签署我的 JNLP,或者它可以防止什么恶意行为,我也找不到现成的信息。

我发现允许部署未签名的 JNLP,但磁盘和网络访问等内容受到限制。但是,让我们假设我是一个恶意的人,他制作的 Java 应用程序会对您的磁盘内容做一些恶意的事情(我将其伪装成其他东西)。我可以很容易地签署、部署它,然后你就可以来到我的网站,毫无戒心地启动应用程序,让你的磁盘受到攻击。在这种情况下...签名完成了什么?

更重要的是...如果任何人都可以简单地签署一份申请,几乎不需要任何努力...那么有什么意义呢?

我确定我遗漏了一些非常明显的东西......请赐教。

最佳答案

你不能只是签署一些东西——如果你想让浏览器不受限制地执行它就不行。您用于签署软件的证书必须使用其他证书签署,依此类推,直到 chain of trust到达 root certificate已安装在您的浏览器中。

虽然有一些不够勤奋Certificate Authorities有时,如果不提供您(网络)身份的某些证明,您通常无法获得此类证书。这意味着怀有恶意的人必须提供某种身份证明,尽管可能很少。更重要的是,CA 预计将 revoke已用于恶意 Activity 或以其他方式遭到破坏的证书,从而限制了暴露的程度。

直言不讳,如果您在站点中使用 CA 签名的证书并且该证书用于分发恶意软件,则 CA 将尽快吊销您的证书。另一方面,如果您使用自签名证书,浏览器将要求用户确认其使用。如果用户不顾警告继续使用它,那么,这是他们自己的错,不是吗?毕竟,无论是愚蠢还是无知,都没有通用的对策……

关于java - 需要签名的 Java JNLP 的目的是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15443228/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com