Pour la première fois aujourd'hui, j'ai installé sur mon PC
(MS-Windows 2000) un programme fait en Java, appelé à communiquer avec
Internet sur de longues périodes. Et j'ai eu la désagréable surprise
de m'apercevoir que, contrairement par exemple à un programme Python,
il n'est pas encapsulé dans un .exe, mais s'appelle via
l'interpréteur, Javaw.exe. Ce qui fait que j'ai dû autoriser (dans la
config de Kerio) ce javaw.exe à communiquer avec l'extérieur.
Ça me paraît une faille de sécurité : n'importe quel troyen écrit en
Java va donc pouvoir expédier ses données comme bon lui semble.
Qu'en pensez-vous ? Y a-t-il un moyen de contourner le problème ?
On 07 Feb 2004 11:17:40 GMT Emmanuel Florac wrote:
Bon, tu as un dernier petit espoir : il est parfois possible de compiler un prograémme java en un éxecutable natif. Bien sûr ça implique d'avoir le kit de dev ad hoc (genre Borland Jbuilder) ET les sources de l'application.
Le kit de dev n'est pas forcément nécessaire. Il y a des compilateurs JIT pour java dispo chez Sun assez facilement. En plus les performances en sont grandement améliorer.
Enfin, personnellement, je suis assez septique quant au filtrage par application (surtout s'il se base sur le nom.) Et comme je l'expliquais plus haut, il y a des stratégies dans la jvm pour minimiser les risques de troyan en java. J'ai effectivement dit également que les choses n'étaient pas aussi simple lorsque l'on sortait du cadre des applets. Mais c'est normal. Un applet est typiquement un programme qui doit être sandboxé par défaut, puisqu'en général c'est du code qui vient de l'extérieur (code mobile.) Un programme indépendant, c'est totalement différent, même s'il a été réaliser ailleurs, tu ne le récupères pas sur ta machine sans certaines précautions préalable.
On 07 Feb 2004 11:17:40 GMT
Emmanuel Florac <eflorac@verisign.com> wrote:
Bon, tu as un dernier petit espoir : il est parfois possible de
compiler un prograémme java en un éxecutable natif. Bien sûr ça
implique d'avoir le kit de dev ad hoc (genre Borland Jbuilder) ET les
sources de l'application.
Le kit de dev n'est pas forcément nécessaire. Il y a des compilateurs JIT
pour java dispo chez Sun assez facilement. En plus les performances en
sont grandement améliorer.
Enfin, personnellement, je suis assez septique quant au filtrage par
application (surtout s'il se base sur le nom.) Et comme je l'expliquais
plus haut, il y a des stratégies dans la jvm pour minimiser les risques de
troyan en java. J'ai effectivement dit également que les choses n'étaient
pas aussi simple lorsque l'on sortait du cadre des applets. Mais c'est
normal. Un applet est typiquement un programme qui doit être sandboxé par
défaut, puisqu'en général c'est du code qui vient de l'extérieur (code
mobile.) Un programme indépendant, c'est totalement différent, même s'il a
été réaliser ailleurs, tu ne le récupères pas sur ta machine sans
certaines précautions préalable.
On 07 Feb 2004 11:17:40 GMT Emmanuel Florac wrote:
Bon, tu as un dernier petit espoir : il est parfois possible de compiler un prograémme java en un éxecutable natif. Bien sûr ça implique d'avoir le kit de dev ad hoc (genre Borland Jbuilder) ET les sources de l'application.
Le kit de dev n'est pas forcément nécessaire. Il y a des compilateurs JIT pour java dispo chez Sun assez facilement. En plus les performances en sont grandement améliorer.
Enfin, personnellement, je suis assez septique quant au filtrage par application (surtout s'il se base sur le nom.) Et comme je l'expliquais plus haut, il y a des stratégies dans la jvm pour minimiser les risques de troyan en java. J'ai effectivement dit également que les choses n'étaient pas aussi simple lorsque l'on sortait du cadre des applets. Mais c'est normal. Un applet est typiquement un programme qui doit être sandboxé par défaut, puisqu'en général c'est du code qui vient de l'extérieur (code mobile.) Un programme indépendant, c'est totalement différent, même s'il a été réaliser ailleurs, tu ne le récupères pas sur ta machine sans certaines précautions préalable.
On 14 Feb 2004 13:45:06 GMT, Marwan Burelle wrote:
Enfin, personnellement, je suis assez septique quant au filtrage par application (surtout s'il se base sur le nom.)
Kerio 2.x se base sur le nom du .Exe + le MD5.
Un programme indépendant, c'est totalement différent, même s'il a été réaliser ailleurs, tu ne le récupères pas sur ta machine sans certaines précautions préalable.
Certes. Mais bon, le fait est que les troyens existent, et que le point fort des firewalls personnels est justement de les bloquer.
-- ;-)
On 14 Feb 2004 13:45:06 GMT, Marwan Burelle <burelle@lri.fr> wrote:
Enfin, personnellement, je suis assez septique quant au filtrage par
application (surtout s'il se base sur le nom.)
Kerio 2.x se base sur le nom du .Exe + le MD5.
Un programme indépendant, c'est totalement différent, même s'il a
été réaliser ailleurs, tu ne le récupères pas sur ta machine sans
certaines précautions préalable.
Certes. Mais bon, le fait est que les troyens existent, et que le
point fort des firewalls personnels est justement de les bloquer.
On 14 Feb 2004 13:45:06 GMT, Marwan Burelle wrote:
Enfin, personnellement, je suis assez septique quant au filtrage par application (surtout s'il se base sur le nom.)
Kerio 2.x se base sur le nom du .Exe + le MD5.
Un programme indépendant, c'est totalement différent, même s'il a été réaliser ailleurs, tu ne le récupères pas sur ta machine sans certaines précautions préalable.
Certes. Mais bon, le fait est que les troyens existent, et que le point fort des firewalls personnels est justement de les bloquer.
-- ;-)
Eric Razny
"Fabien LE LEZ" a écrit dans le message de news:
On 14 Feb 2004 13:45:06 GMT, Marwan Burelle wrote:
Enfin, personnellement, je suis assez septique quant au filtrage par application (surtout s'il se base sur le nom.)
Kerio 2.x se base sur le nom du .Exe + le MD5.
Le problème ici (avec javaw) c'est que l'exe est le même (et donc le chksum aussi) pour toutes les applications java. Quand tu as *une* appli qui tourne il y a moins de problèmes (dans mon cas les ports et adresses ip sont parfaitement déterminés[1]) mais si tu dois laisser passer plusieurs applis tu es quand même un peu emmerdé pour paramètrer ton fw personnel, non?
Un programme indépendant, c'est totalement différent, même s'il a été réaliser ailleurs, tu ne le récupères pas sur ta machine sans certaines précautions préalable.
Certes. Mais bon, le fait est que les troyens existent, et que le point fort des firewalls personnels est justement de les bloquer.
Ben oui mais non :) : la il ne peut pas :( -si quelqu'un connais un moyen *sans* transformer le prog java en éxecutable -portabilité oblige- je suis preneur.
Eric.
[1] et il y a autentification/cryptage à l'autre bout en cas de tentative de hijack ou autre
"Fabien LE LEZ" <gramster@gramster.com> a écrit dans le message de
news:drps20lla7qrb9nmrkp28gmodi4mnkq0jk@4ax.com...
On 14 Feb 2004 13:45:06 GMT, Marwan Burelle <burelle@lri.fr> wrote:
Enfin, personnellement, je suis assez septique quant au filtrage par
application (surtout s'il se base sur le nom.)
Kerio 2.x se base sur le nom du .Exe + le MD5.
Le problème ici (avec javaw) c'est que l'exe est le même (et donc le chksum
aussi) pour toutes les applications java.
Quand tu as *une* appli qui tourne il y a moins de problèmes (dans mon cas
les ports et adresses ip sont parfaitement déterminés[1]) mais si tu dois
laisser passer plusieurs applis tu es quand même un peu emmerdé pour
paramètrer ton fw personnel, non?
Un programme indépendant, c'est totalement différent, même s'il a
été réaliser ailleurs, tu ne le récupères pas sur ta machine sans
certaines précautions préalable.
Certes. Mais bon, le fait est que les troyens existent, et que le
point fort des firewalls personnels est justement de les bloquer.
Ben oui mais non :) : la il ne peut pas :( -si quelqu'un connais un moyen
*sans* transformer le prog java en éxecutable -portabilité oblige- je suis
preneur.
Eric.
[1] et il y a autentification/cryptage à l'autre bout en cas de tentative de
hijack ou autre
On 14 Feb 2004 13:45:06 GMT, Marwan Burelle wrote:
Enfin, personnellement, je suis assez septique quant au filtrage par application (surtout s'il se base sur le nom.)
Kerio 2.x se base sur le nom du .Exe + le MD5.
Le problème ici (avec javaw) c'est que l'exe est le même (et donc le chksum aussi) pour toutes les applications java. Quand tu as *une* appli qui tourne il y a moins de problèmes (dans mon cas les ports et adresses ip sont parfaitement déterminés[1]) mais si tu dois laisser passer plusieurs applis tu es quand même un peu emmerdé pour paramètrer ton fw personnel, non?
Un programme indépendant, c'est totalement différent, même s'il a été réaliser ailleurs, tu ne le récupères pas sur ta machine sans certaines précautions préalable.
Certes. Mais bon, le fait est que les troyens existent, et que le point fort des firewalls personnels est justement de les bloquer.
Ben oui mais non :) : la il ne peut pas :( -si quelqu'un connais un moyen *sans* transformer le prog java en éxecutable -portabilité oblige- je suis preneur.
Eric.
[1] et il y a autentification/cryptage à l'autre bout en cas de tentative de hijack ou autre
Jean-Michel
On 07 Feb 2004 11:17:40 GMT, Emmanuel Florac wrote:
Dans article , disait...
Ça me paraît une faille de sécurité : n'importe quel troyen écrit en Java va donc pouvoir expédier ses données comme bon lui semble.
Oui.
Qu'en pensez-vous ? Y a-t-il un moyen de contourner le problème ?
Aucun. D'ailleurs le même problème se pose quand tu as plusieurs applications java qui tournent et qu'une se plante : dans la liste des processus tu n'as que des "javaw", alors va savoir lequel flinguer...
J'ai un programme en java qui doit sortir sur le net. Ce que j'ai fait, c'est de copier le répertoire j2re, de renommer javaw.exe en abc.exe puis d'invoquer abc.exe via un raccourci windows en spécifiant quels jar et paramètres utiliser.
Du coup, côté firewall, je n'ai pas besoin d'autoriser javaw.exe à sortir, mais je le permet pour abc.exe
La question maintenant, c'est de savoir si un troyen est assez intelligent pour utiliser abc.exe pour sortir ... AMHA, c'est possible, mais l'existence d'un troyen si perfectionné est faible... (??)
Jean-Michel
________________________________________________________ Pour m'ecrire, remplacez SVP .antiSPAM.ch par .com
On 07 Feb 2004 11:17:40 GMT, Emmanuel Florac <eflorac@verisign.com>
wrote:
Dans article <ddro10dg2tr3fitlohpq3a375kh206frq1@4ax.com>,
gramster@gramster.com disait...
Ça me paraît une faille de sécurité : n'importe quel troyen écrit en
Java va donc pouvoir expédier ses données comme bon lui semble.
Oui.
Qu'en pensez-vous ? Y a-t-il un moyen de contourner le problème ?
Aucun. D'ailleurs le même problème se pose quand tu as plusieurs
applications java qui tournent et qu'une se plante : dans la liste des
processus tu n'as que des "javaw", alors va savoir lequel flinguer...
J'ai un programme en java qui doit sortir sur le net. Ce que j'ai fait,
c'est de copier le répertoire j2re, de renommer javaw.exe en abc.exe
puis d'invoquer abc.exe via un raccourci windows en spécifiant quels jar
et paramètres utiliser.
Du coup, côté firewall, je n'ai pas besoin d'autoriser javaw.exe à
sortir, mais je le permet pour abc.exe
La question maintenant, c'est de savoir si un troyen est assez
intelligent pour utiliser abc.exe pour sortir ...
AMHA, c'est possible, mais l'existence d'un troyen si perfectionné est
faible... (??)
Jean-Michel
________________________________________________________
Pour m'ecrire, remplacez SVP .antiSPAM.ch par .com
On 07 Feb 2004 11:17:40 GMT, Emmanuel Florac wrote:
Dans article , disait...
Ça me paraît une faille de sécurité : n'importe quel troyen écrit en Java va donc pouvoir expédier ses données comme bon lui semble.
Oui.
Qu'en pensez-vous ? Y a-t-il un moyen de contourner le problème ?
Aucun. D'ailleurs le même problème se pose quand tu as plusieurs applications java qui tournent et qu'une se plante : dans la liste des processus tu n'as que des "javaw", alors va savoir lequel flinguer...
J'ai un programme en java qui doit sortir sur le net. Ce que j'ai fait, c'est de copier le répertoire j2re, de renommer javaw.exe en abc.exe puis d'invoquer abc.exe via un raccourci windows en spécifiant quels jar et paramètres utiliser.
Du coup, côté firewall, je n'ai pas besoin d'autoriser javaw.exe à sortir, mais je le permet pour abc.exe
La question maintenant, c'est de savoir si un troyen est assez intelligent pour utiliser abc.exe pour sortir ... AMHA, c'est possible, mais l'existence d'un troyen si perfectionné est faible... (??)
Jean-Michel
________________________________________________________ Pour m'ecrire, remplacez SVP .antiSPAM.ch par .com
