Можете ли вы порекомендовать хорошее введение в нетривиальные файлы политики для стандартного Java SecurityManager?Java SecurityManager: хорошее введение в файлы политики
Есть ли примеры, выходящие за рамки того, что предлагает веб-сайт Java? Или, может быть, кто-то описывает, как защитить Tomcat, который запускает целую кучу разных веб-приложений?
[EDIT] Мой вариант использования - это приложение, которое может запускать скрипты, написанные тремя типами пользователей: 1. разработчиками приложений, 2. администраторами приложений и 3. конечными пользователями.
Пользователи из группы 1 должны иметь доступ практически к любому ресурсу (= нет необходимости в специальном SM).
Группе # 2 можно доверять, но мы хотели бы защитить их от глупых ошибок (например, позвонить System.exit
).
Группе # 3 нельзя доверять. Обычно они пишут только небольшие скрипты.
Когда я запускаю сценарий, я знаю, откуда он. Будут ли файлы политики помогать в моем случае использования или мне нужно написать собственный SecurityManager?
Моя проблема не в методах, а в аргументах: Какие значения я могу использовать кар? Например, как я могу разрешить доступ к моей базе данных через JDBC (возможно, есть определенный сокет), не позволяя вредоносному коду загружать данные на какой-либо веб-сайт? Как я могу убедиться, что я поймал всю рыбу?Может быть, какой-то специальный код в драйвере JDBC понадобится тому, чего я не предоставил. –