Így szabályozható a Java használata

A Java legutóbbi frissítése viszonylag csendesen debütált, pedig egy nagyon érdekes biztonsági funkciót keltett életre.
 

Idén a Java már számos biztonsági frissítésen esett át. Ezek között jó néhány olyan hibajavítás is elérhetővé vált, amelyek kritikus veszélyességű sérülékenységeket orvosoltak. Azonban a Java legutóbbi frissítése a szokásosnál kisebb hírverést keltett, ami talán annak tudható be, hogy ezúttal a verzióváltás nem súlyos sebezhetőségek befoltozásáról szólt. Ettől függetlenül azért biztonsági szempontból érkezett egy fontos újdonság, amely vállalati és intézményi környezetekben tehet hasznos szolgálatot.

A legújabb, Java 7 Update 40 védelmi szempontból legfontosabb újdonságának az úgynevezett "Deployment Rule Set" bevezetése számít. Ennek segítségével ugyanis felügyelhetőbbé és kontrollálhatóbbá válhat a Java appletek és a Java Web Start alkalmazások futtatása. A rendszergazdák viszonylag pontosan szabályozhatják, hogy a klienseken a felhasználók milyen alkalmazásokat indíthatnak el, így az ismeretlen vagy nem megbízható forrásból származó Java appletek és szoftverek által jelentett kockázatok mérsékelhetők.

Csak amit engedek!

A Deployment Rule Set tulajdonképpen egy fehérlistás technikára épülő biztonsági eszköz, amelynek működése XML-fájlok révén szabályozható. A rendszergazdák ezekben az XML-állományokban pontosan meghatározhatják a szervezeten belül engedélyezett Java megoldások körét, és azokhoz hozzárendelhetik a klienseken kikényszerítendő műveleteket. Alapvetően három lehetőség közül választhatnak. Vagy biztonsági figyelmeztetés nélkül engedik a felhasználók számára az adott alkalmazás elindítását, vagy a klienseken lévő beállításokat hagyják érvényben, vagy tiltják egy-egy applet, illetve alkalmazás használatát. Ez utóbbi esetben lehetőség van minden olyan Java alkalmazás blokkolására, amelyekre nézve korábban nem születtek biztonsági előírások. Azaz a mindent tilos, ami nem engedélyezett elvet követi az Oracle megoldása.

Amikor az XML (ruleset.xml) összeáll, akkor azt be kell csomagolni egy egyszerű JAR (DeploymentRuleSet.jar) fájlba, majd az állományt digitális aláírással kell ellátni. Ezt követően e fájlt kell eljuttatni a klienseken található [Windows könyvtár]\Sun\Java\Deployment vagy Linuxon az /etc/.java/deployment mappába. Az Oracle szerint az új funkció használatához mindenképpen szükség van a Java 7 Update 40 kliensekre történő telepítésére, de az XML-fájlban a Java korábbi verzióival kompatibilis alkalmazásokra vonatkozó szabályok is definiálhatók.

Jó, jó, de...

A Deployment Rule Set a biztonsági szakemberek körében meglehetősen vegyes fogadtatásra talált. Wolfgang Kandek, a Qualys műszaki igazgatója szerint az Oracle jó irányba indult, és megtette az első lépést afelé, hogy egy jó kontroll lehetőséget adjon az informatikai részlegek kezébe. Kandek pozitívnak értékelte azt is, hogy az Oracle-nek egy olyan eszközt sikerült kialakítania, amely böngészőfüggetlen módon kezelhető. Ugyanakkor hangsúlyozta, hogy az Oracle-nek továbbra is nagyobb figyelmet kellene szentelnie a Java biztonsági réseinek kódszintű felszámolására. Ez utóbbi kijelentéssel értett egyet Adam Gowdiak, a lengyel Security Explorations cég alapítója is, aki az elmúlt időszakban több Java sérülékenység feltárásában vett részt. A szakember úgy látja, hogy az Oracle számára könnyebb utat biztosít az, ha a Java bővítmények által jelentett kockázati tényezőket különféle GUI és szabályalapú megoldások bevetésével csökkenti, mintha megtisztítaná a kódot, és újratervezné a platformot a biztonság megerősítése érdekében. Ennek ellenére Gowdiak is úgy vélte, hogy az új funkció segíthet a károk megelőzésében, de véleménye szerint egyelőre nehéz megjósolni, hogy hány szervezet fog élni az új lehetőséggel.