Java adalah bahasa pemrograman baru dari Sun Microsystems (saat ini dalam rilis beta). Bahasa Java memiliki sejumlah properti yang menarik. Salah satu propertinya yaitu “portabel”, bahkan secara dinamis dimuat melalui jaringan dan dijalankan secara lokal. Secara khusus, program kecil yang disebut applet dapat di-load dan dijalankan oleh web browser. Sementara ide ini sangat kuat, juga merupakan undangan untuk masalah keamanan.
Konten executable adalah ide pengiriman sekitar data yang sebenarnya kode yang akan dieksekusi. Mengapa gagasan konten dieksekusi begitu menarik? Jawabannya cukup sederhana. Power dan ekspresi. Penggunaan World Wide Web telah meledak selama beberapa tahun terakhir, seiring dengan pertumbuhan tersebut telah ada banyak usaha untuk retrofit aplikasi ke Web. Sementara Web telah disesuaikan untuk memungkinkan digunakan lebih menarik melalui bentuk-bentuk dan skrip yang berjalan di server. Kemampuan untuk memiliki pengguna lokal menjalankan program yang ditulis dalam bahasa pemrograman penuh memungkinkan aplikasi untuk digunakan secara langsung melalui Web.
Bahasa Safe-Tcl (perpanjangan dari bahasa Tcl) mencoba untuk menyediakan ``''Mail Diaktifkan yang akan memungkinkan pengguna untuk mengirim email dengan program Safe-Tcl tertanam. Safe-Tcl memenuhi keamanan yang kuat dan kendala portabilitas. Telescript dari General Magic juga menyediakan banyak fitur yang sama untuk konten executable seperti Java, dengan klaim serupa tentang keselamatan dan keamanan.
Sebelum pindah ke sebuah diskusi keamanan Java, terlebihdulu harus memiliki pemahaman tentang potensi masalah yang diajukan oleh konten yang akan dieksekusi. Kelebihan dari konten eksekusi berasal dari peningkatan kekuatan dan fleksibilitas yang disediakan oleh program perangkat lunak. Peningkatan daya dari applet Java (istilah Java untuk konten dieksekusi) juga menjadi masalah yang potensial. Bila pengguna menggunakan Web, mereka seharusnya tidak perlu khawatir bahwa applet dapat menghapus file atau mengirimkan informasi pribadi mereka melalui jaringan secara diam-diam.
Inti dari masalahnya adalah bahwa menjalankan program di komputer biasanya memberikan bahwa akses program untuk sumber daya tertentu pada mesin host. Dalam kasus konten dieksekusi, program yang sedang berjalan tidak dipercaya. Jika browser Web yang download dan menjalankan kode Java tidak berhati-hati untuk membatasi akses bahwa program untrusted telah, dapat memberikan program yang jahat atau virus dengan kemampuan yang sama untuk berbuat kerusakan sebagai hacker yang telah memperoleh akses ke mesin host.
Sayangnya, solusinya tidak sesederhana untuk membatasi akses program download ke sumber daya. Alasan bahwa salah satu program yang memberikan akses ke sumber daya di tempat pertama adalah bahwa program perlu mengakses sumber daya tertentu. Misalnya editor teks yang tidak dapat menyimpan file tidak berguna. Dengan demikian, jika seseorang keinginan untuk memiliki kandungan executable yang berguna dan aman, akses ke sumber daya perlu dikontrol dengan hati-hati. Bagian selanjutnya mengambil langkah pertama, yaitu untuk mengidentifikasi sumber daya yang kita tentukan atau tujukan. Setelah sumber daya telah diidentifikasi, beberapa contoh skenario yang menggambarkan masalah dengan tidak memberikan pembatasan yang cukup disajikan.
Sumber : http://groups.csail.mit.edu/mac/users/jbank/javapaper/javapaper.html
Tidak ada komentar:
Posting Komentar