《Java安全编码标准》一1.9 安全管理器

1.9 安全管理器

SecurityManager?是Java中定义安全策略的类。当一个程序在没有安装安全管理器的环境中运行时,它是不受限制的,它可以使用任何Java API提供的类和方法。当使用安全管理器时,它会明确哪些不安全和敏感的操作是允许的。任何违反安全策略的操作都会导致抛出SecurityException异常,代码可以向安全管理器查询某些动作是否允许。同时,安全管理器可以控制受信的Java API能够执行的功能。当非受信的代码不允许读取系统类的时候,应该赋予这些类最低的权限,以防止特定包中的那些受信类被它们使用。而accessClassInPackage权限只提供那些所需要的功能。
某一类应用中存在着一些预先设定好的安全管理器。applet安全管理器就能够管理所有的Java applet。它拒绝除了赋予重要权限的所有applet,以防止不经意的系统修改、信息泄露以及用户模拟。
安全管理器不仅仅只限于对客户端应用的保护。对于Web服务器,如Tomcat和WebSphere,可以将安全管理器用来隔离servlets和JSP(Java Server Page)代码中出现的恶意木马,以及保护敏感的系统资源,使其不能被随便访问。
对于在命令行状态下运行的Java应用,一个自定义的安全管理器会被设置一个特殊的标识。同样,也可以通过编程式的方法安装一个安全管理器。这样就可以建立一个默认的沙箱,通过安全策略来允许或者拒绝那些敏感操作。
在Java 2平台之前,安全管理器是一个抽象类。在Java 2平台之后,由于不作为抽象类出现,所以应用时不需要显式重写它的方法。如果编程式地创建安全管理器,代码需要有运行态的权限来运行createSecurityManager?方法,从而实例化安全管理器并且通过运行setSecurityManager来安装SecurityManager。当已经安装安全管理器时,将会检查这些权限。当存在一个全局默认的安全管理器时,例如在虚拟宿主环境,或者在一个单独的宿主环境中,需要用一个定制的安全管理器来代替默认的安全管理器,从而拒绝以前那些能够通过的权限的情况。
安全管理器和AccessController类紧密相关。前者是一个访问控制中枢,而后者是访问控制算法的实际实现。安全管理器支持以下几种情况:
提供后向兼容性:历史遗留的代码通常包含许多定制化的安全管理器的实现,因为最开始安全管理器是被设计为抽象的。
设定自定义的策略:设计一个安全管理器的子类,以设定自定义的安全策略(例如,多层次、粗略或者细粒度的)。
在考虑实现和使用自定义的安全管理器的时候,对应于默认的安全管理器,在Java Security Architecture Specification[SecuritySpec 2008]中提到:
定制一个安全管理器(通过设计它的子类)应当是最后的手段,并且需要特别谨慎,我们鼓励在应用代码中使用AccessController?。此外,一个定制的安全管理器,比如它会在调用标准的安全检查之前做当天的时间检查,它可以而且应该适当的利用AccessControllerwhenever所提供的算法。
许多Java SE API在进行敏感操作之前会通过调用安全管理器来进行默认的检查。例如,在调用者不具备读文件权限的时候,?java.io.FileInputStream的构造函数会抛出SecurityException?异常。因为SecurityException?是RuntimeException的子类,一些API方法的声明并不需要声明它们抛出RuntimeException异常,但是一些API方法不能这样。例如,在java.io.FileReader中就没有声明它会抛出SecurityException?异常。除非在API方法文档里特别指明,否则应该避免依赖对安全管理器是否存在进行的检查。

时间: 2024-09-25 09:48:59

《Java安全编码标准》一1.9 安全管理器的相关文章

《Java安全编码标准》一导读

前 言 在Java编程语言中,关键的安全编码要素是采用良好的文档和强制的编码规范.本书提供了在Java语言中的一系列安全编码规则.这些规则的目标是消除不安全的编码实践,因为这些不安全的因素会导致可利用的漏洞.如果应用这些安全编码标准,可以帮助设计出安全的.可靠的.健壮的.有弹性的.可用性和可维护性高的高质量系统,并且这些安全编码规范还可作为评估源代码质量特性的一个指标(不管使用的是手动的还是自动化的过程).对于使用Java编程语言开发的软件系统,这个编码规范具有广泛的影响. 目 录 第1章 概述

《Java安全编码标准》一1.11 小结

1.11 小结 尽管作为一种相对安全的语言,Java语言及其类库还是在很大程度上存在着一些编程问题,从而造成系统安全漏洞.如果假设Java本身提供的功能特性可以减少一般的软件问题,并足够Java程序安全得不需要进行进一步检测,那么我们就大错特错了.因为任何在软件实现中出现的缺陷都会产生严重的安全影响,绷紧安全性这根弦是非常关键的,这样,当我们进行系统开发和部署时,就可以避免出现软件的安全漏洞问题.为了减少因为编程错误所带来的安全漏洞的可能性,Java开发人员应当遵循本编码标准中的安全编码规则,并

《Java安全编码标准》一2.3 IDS02-J在验证之前标准化路径名

2.3 IDS02-J在验证之前标准化路径名 根据Java API[API 2006]文档对java.io.File类的描述:一个路径名,不管是抽象的还是字符串形式的,可以是相对路径也可以是绝对路径.使用绝对路径名,因为在定位一个路径表示的文件时,已经不需要其他信息了,因而可以认为是完整的.相比之下,一个相对路径名必须要增加其他的路径信息才能进行解释.绝对路径名或者相对路径名会包含文件链接,比如符号(软)链接.硬链接.快捷方式.影子.别名和联名.这些文件链接在文件验证操作进行之前必须完全解析.例

《Java安全编码标准》一1.6 序列化

1.6 序列化 序列化使得Java程序中对象的状态能被抓取并写入到字节流中[Sun 2004b].这使得该对象的状态能够保存下来,所以可以在未来需要的时候恢复(通过反序列化).序列化可以通过网络使用RMI的方式调用Java方法,这些对象被编组(序列化),在分布部署的虚拟机之间进行交换,然后进行解组(反序列化).序列化还广泛使用在Java Beans中.可以用以下方式序列化对象: ObjectOutputStream oos = new ObjectOutputStream( new FileOu

《Java安全编码标准》一1.8 最低权限原则

1.8 最低权限原则 根据最低权限原则,系统的每一个程序和用户只应赋予能够完成它们操作所需要的最低权限[Saltzer 1974,Saltzer 1975] ."构建安全的网站"(Build Security In Website)[DHS 2006]?这篇文章补充说明了这个原则.以最低权限运行可以降低因为代码中的安全漏洞而带来的安全问题的严重性.体现最低权限原则的规则如下所示: 定义权限的所谓安全策略必须有严格的控制.当Java程序有安全管理器时,通过默认的安全策略文件进行权限控制:

《Java安全编码标准》一1.5 拒绝服务

1.5 拒绝服务 拒绝服务攻击试图使计算机的资源不可获得,或者对需要使用该计算机资源的用户来说,会造成资源不足的情况.通常这种攻击是持续服务的服务器系统需要重点关注的,它与桌面应用程序有很大区别:然而,拒绝服务的问题可以出现在所有类别的应用上. 1.5.1 资源耗尽型的拒绝服务 拒绝服务可能出现在,相对于输入数据需要的资源消耗来说,使用比例上更为巨大的资源.通过客户端软件检查资源是否被过度消耗,并希望用户来处理与资源相关的问题是不合理的.但是,存在这样的客户端软件,它们可以检查那些可能会导致持久

《Java安全编码标准》一2.11 IDS10-J不要拆分两种数据结构中的字符串

2.11 IDS10-J不要拆分两种数据结构中的字符串 在历史遗留系统中,常常假设字符串中的每一个字符使用8位(一个字节,Java中的byte).而Java语言使用16位表示一个字符(Java中的Char类型).遗憾的是,不管是Java的byte类型还是char类型数据,都不能表示所有的Unicode字符.许多字符串使用例如UTF-8编码的方式存储和通信,而在这种编码中,字符长度是可变的. 当Java字符串以字符数组的方式存储时,它可以用一个字节数组来表示,字符串里的一个字符可以用两个连续的或更

《Java安全编码标准》一2.1 IDS00-J净化穿越受信边界的非受信数据

2.1 IDS00-J净化穿越受信边界的非受信数据 许多程序会接受来自未经验证的用户数据.网络连接,以及其他来自于非受信域的不可信数据,然后它们会将这些数据(经过修改或不经修改)穿过受信边界送到另一个受信域中.通常,这些数据是以字符串的形式出现的,并且它们会有既定的内部数据结构,这种数据结构必须能够被子系统所解析.同时,必须净化这些数据,因为子系统可能并不具备处理恶意输入信息的能力,这些未经净化数据输入很有可能包含注入攻击. 值得注意的是,程序必须对传递给命令行解释器或者解析器的所有字符串数据进

《Java安全编码标准》一2.13 IDS12-J在不同的字符编码中无损转换字符串数据

2.13 IDS12-J在不同的字符编码中无损转换字符串数据 在String对象之间进行转换时,如果涉及不同的编码类型,可能会导致数据丢失. 根据Java API[API 2006] 对?String.getBytes(Charset)方法的描述: 该方法总会替代那些错误格式的输入和不可映射的字符序列,把它们替换成这些字符的字节数组. 当必须将一个String转化为字节数组时,例如写入一个文件,并且在这个字符串中含有不可映射的字符序列的时候,就必须进行正确的字符编码. 2.13.1 不符合规则的