Java SecurityManager是一个完整的安全解决方案吗?
我可以避免第三方代码使用定制的SecurityManager创建新线程、启动新VM或泄漏数据吗?您当然可以做前两件事。然而,我不知道你所说的“泄露数据”是什么意思Java SecurityManager是一个完整的安全解决方案吗?,java,security,Java,Security,我可以避免第三方代码使用定制的SecurityManager创建新线程、启动新VM或泄漏数据吗?您当然可以做前两件事。然而,我不知道你所说的“泄露数据”是什么意思 注意,您不需要自定义的SecurityManager,只需要自定义策略文件。线程创建会导致调用SecurityManager。检查Access(g),其中g是线程组。这反过来需要SecurityConstants.MODIFY\u THREADGROUP\u权限 创建新JVM实例的唯一方法是启动一个新进程。这将需要SecurityCo
注意,您不需要自定义的SecurityManager,只需要自定义策略文件。线程创建会导致调用
SecurityManager。检查Access(g)g线程组SecurityConstants.MODIFY\u THREADGROUP\u权限SecurityConstraints.FILE\u EXECUTE\u ACTION您需要对构成“泄漏数据”的内容进行限定。是否担心意外或故意泄漏?是否担心不受信任的代码访问数据,或者其他线程、类等可以访问不受信任的代码的数据?没有什么是完整的安全解决方案(除非您询问销售人员) 我认为SecurityManager可以控制所有这些(正如所说的,您不一定需要自定义安全管理器,您可以通过一个策略简单地配置很多)。控制线程、进程执行、强制访问私有数据和网络连接(第三方应用程序向竞争对手发送私有数据等)——这就是SecurityManager的作用 但是,您需要权衡需要多少安全性。考虑到每个java安全更新,Sun在java安全沙箱中修复3-4个漏洞()。这些更新每年大约进行3-4次(或者进行了3-4次,不知道Oracle收购会对其产生什么影响)。因此,这12个年度漏洞中的任何一个都可能导致您的数据泄露
如果我的秘密对其他人非常有价值,我个人不会信任SecurityManager来控制在我的环境中运行的潜在恶意第三方代码。(我没有什么有价值的秘密,而且我已经不相信在我的浏览器中运行的Java在SecurityManager下的行为。)是,使用例如
Runtime.execSecurityManager