Comments 26
Будьте осторожны!Это 100 лет, как известно. (Лучше бы написали, что делать, чтобы такие апплеты без опаски запускать. Представляется VM с изолированной сетью, которую никогда затем не подключаешь по сети к локалхосту. Однако, суеты много, и скрины будет снимать только со своего виртуального экрана.)
а VNC сервер внутри апплетика? или уже предустановленный VNC сервер поднимает?
внутри
т.е. VNC крутится внутри апплета. Пусть даже слушать порт и брать скрины с дисплея разрешено, то не факт, что что-то изменять ему разрешит политика безопасности. Это ж Java машина…
На самом деле,
Как написал shai_hulud здесь: habrahabr.ru/blogs/infosecurity/97643/#comment_3000273
фактически апплету разрешили грабить и насиловать. то что кто-то удаленно начнет двигать мышкой и смотреть ваши запасы короткометражных фильмов, это самое безобидное из всего спектра доступных апплету действий.
Как написал shai_hulud здесь: habrahabr.ru/blogs/infosecurity/97643/#comment_3000273
ну если посмотреть. VNC это всего лишь протокол. Реализация его в Java апплете. Если прав, чтобы двигать мышкой у Java апплета нет, то никакой VNC тут не причем. В Java не идиоты ведь. Java апплет запускается в песочнице, и не сможет сделать то, что ему не разрешено.
ой. беру свои слова обратно. Вот тут Java applet VNC server. Только что проверил, без проблем управлял удаленным рабочим столом. Если кто не верит, вот выложил апплет на страничку у себя.
Только одно не понимаю, в каком месте апплету даются такие права…
Только одно не понимаю, в каком месте апплету даются такие права…
>>Лучше бы написали, что делать, чтобы такие апплеты без опаски запускать.
На данный момент — ничего.
Пока на уровне ОС не реализуют разграничение доступа к ресурсам на уровне приложений, а не пользователей, остаётся только верить производителям софта и надеятся, что в их софт не внедрили троянов.
Обсуждение по теме: habrahabr.ru/blogs/infosecurity/89588/#comment_2783499
На данный момент — ничего.
Пока на уровне ОС не реализуют разграничение доступа к ресурсам на уровне приложений, а не пользователей, остаётся только верить производителям софта и надеятся, что в их софт не внедрили троянов.
Обсуждение по теме: habrahabr.ru/blogs/infosecurity/89588/#comment_2783499
Искать сервисы, которым не нужен в апплете native-код и соответственно полные права.
а ещё можно скачать жава аплет который будет форматить жалкий виндоуз, и разрешить ему это сделать
то что используется VNC не означает что можно упровлять компом, это просто протокол
если так боитесь — ждите Native Client, а осторожным надо быть всегда
то что используется VNC не означает что можно упровлять компом, это просто протокол
если так боитесь — ждите Native Client, а осторожным надо быть всегда
Если приложению на Native Client понадобится доступ к диску (и пользователь ему разрешит), оно тоже сможет стереть все файлы. Отформатировать диск правда будет сложнее — нужны будут еще права на запуск приложений.
фактически апплету разрешили грабить и насиловать. то что кто-то удаленно начнет двигать мышкой и смотреть ваши запасы короткометражных фильмов, это самое безобидное из всего спектра доступных апплету действий.
Никогда не пользовался подобными сервисами…
Хочу завести такой сервис на внутреннем сервере компании для служебных нужд. Screen Toaster на предложение купить/поделиться не ответили. Если кто-то может что-то посоветовать по этому поводу, буду крайне признателен.
Выглядит как ненавязчивая реклама ScreenJelly ;)
Извините, но я никак не отношусь к создателям этого сервиса.
Я понимаю, просто очень круто получилось. На протяжении поста аккуратно сливаются все конкуренты и рекоммендуется ScreenJelly. Вы можете смошников учить тексты писать. ;)
Sign up to leave a comment.
Screenjelly, Screentoaster или Radmin?