Недавно у нас был аудит безопасности, который обнаружил уязвимость в нашей системе. У нас есть пользовательский очень простой веб-сервер, который мы используем для обслуживания ресурсов (html-файлы справки, изображения, файлы jar).Проблема безопасности при доступе к файлам jar
У нас есть Java Webstart, jnlp создается на сервере и при загрузке в браузере он вызывает наш веб-сервер для загрузки файлов jar, необходимых ему для приложения. В конце, когда приложение запускает окно входа в систему, пользователь запрашивает.
Но вы можете ввести в браузере и загрузить любую из банок, которые jnlp делает за сценой, и этот факт считается уязвимостью безопасности. Основная проблема заключается в том, что пользователь, не прошедший аутентификацию, может получить доступ к нашим файлам jar без наличия действительной учетной записи.
Мой вопрос будет: 1. этого требование уязвимости оправданна, так как файл банка необходимо достичь клиентской машины перед экраном входа в системе 2. Если опасения оправданы, как я могу обеспечить доступ к банку приложения файлы?
Спасибо - Marius
На каком веб-сервере вы работаете? – bsimic
Если это уязвимость системы безопасности, вы уверены, что хотите обсудить ее публично?/Если код будет запущен за пределами вашей сети, его нужно будет открыть (он может быть запутан, но не думайте, что это действительно представляет собой безопасность). Даже в веб-браузерах вы можете просмотреть исходный код JavaScript (попытка отключить ctrl-U и щелчок правой кнопкой мыши не очень эффективен). –
Это простой веб-сервер, который сделан ih-house, и это одна из причин, по которым мы пока не рассматривали безопасность. –