読者です 読者をやめる 読者になる 読者になる

Signed-Appletをどういった基準で信頼するか

security

セキュリティーというよりも雑談です。
2月くらいにSigned-Appletを使ったウェブ部品を作っていました。今でも微妙に作っているのですが、それはいいとして、このSigned-Appletというのがなかなか面白いもので、Javaによる通常のセキュリティー制限を受けずにAppletを実行できます。
もちろん『実行しますか?』的な警告はでますが、これが次のような画面です。
f:id:ultraist:20070610235740p:image
詳細情報↓
f:id:ultraist:20070610235840p:image

結構安心できそうじゃないです? 「信頼できるソースによるデジタル署名の検証に成功しました」「Thawte Freemail Memberはこの内容が安全であることを表明します」「このセキュリティ証明書は、信頼のできる団体によって発行されています。」「このセキュリティ証明書は期限が切れておらず、依然として有効です。」でインフォアイコンだし、Javaも「実行しても大丈夫だから早く実行しろー」と言いたげです。しかも「この発行者からのコンテンツを常に信用します」にチェックが入っているので、一度実行すると、次から許可ダイアログなく実行されるようになります。一般の人はつい実行を押してしまうと思いませんか。僕でもなんらかそのページを見る目的があって、どうもこれを実行しないとそれが見れないようなら気軽に実行しそうです。
でもこれかなり危ない可能性があります。この証明書はネットカフェに行ってフリーメールを使って無料で10分で取れるものだからです。CAは信頼できますが、署名している人が信用できません。だれでも自分の作ったJavaプログラムに好き勝手に署名できます。
仮に僕が悪い人ならWinnyプロトコルの知識を利用して実行したとたんに全ドライブをWinnyネットワークに流出させるプログラムを作って、適当に確保したウェブサーバーに次々にコピペしていき、ウェブページを開いただけで流出事件を発生させまくるかもしれません。そんな危険なものがこんな大丈夫そうなメッセージで実行されるのだから結構怖いと思うんです。
ただ署名した人のメールアドレスやドメインをよく確認してから実行すればいいとは思うのですが、そこまでたどり着くまでが長いので、初心者には難しいんじゃないかなぁという、話でした。

怪しくないページ
なんとウェブページを開いて『実行』してしまい、『録音ボタン』をついうっかり押してしまうと、マイクがハッキングされて環境音が録音されます。しかも誇らしげに再生までされてしまいます! それだけですが。

本題

少しずつですが、この仕組みを使ってなにかやってみようと思います。
でも、JavaAppletは起動が重いーという嫌な点があります。