Exploiting Java Code Interactions

François Goichon 1 Guillaume Salagnac 1 Stéphane Frénot 1
1 AMAZONES - Ambient Middleware Architectures: Service-Oriented, Networked, Efficient and Secured
Inria Grenoble - Rhône-Alpes, CITI - CITI Centre of Innovation in Telecommunications and Integration of services
Résumé : De multiples technologies Java permettent l'exécution de code fourni par différentes parties dans un même environnement. Les plateformes orientées service comme OSGi en sont un exemple. Ces plateformes gèrent des composants différents qui n'interagissent entre eux que par les points d'entrées publics que sont les services. Même si Java est robuste par nature, il n'a pas été conçu pour gérer de telles interactions dans le cas où certaines parties sont malveillantes. Dans ce rapport technique, nous exposons comment les méchanismes basiques de Java peuvent mettre en danger l'encapsulation et la sureté d'exécution. Nous expliquons aussi pourquoi les couches de sécurité additionelles ne paraissent pas adaptées à ces environnements à composants et ne garantissent pas une couverture de sécurité optimale. Nous exposons également les problèmes du contrôle d'accès basé sur la pile d'appel et comment il peut permettre à du code malveillant de contourner les restrictions en s'appuyant sur du code de confiance. Enfin, notre audit de différents composants du monde réel montre que les plateformes à composants ne sont pas préparées à la présence de code malveillant.
Type de document :
Rapport
[Technical Report] RT-0419, INRIA. 2011
Liste complète des métadonnées

https://hal.inria.fr/hal-00652110
Contributeur : François Goichon <>
Soumis le : jeudi 15 décembre 2011 - 16:50:21
Dernière modification le : samedi 17 septembre 2016 - 01:35:48
Document(s) archivé(s) le : vendredi 16 novembre 2012 - 15:36:14

Fichier

RT-0419.pdf
Fichiers produits par l'(les) auteur(s)

Identifiants

  • HAL Id : hal-00652110, version 1

Collections

Citation

François Goichon, Guillaume Salagnac, Stéphane Frénot. Exploiting Java Code Interactions. [Technical Report] RT-0419, INRIA. 2011. <hal-00652110>

Partager

Métriques

Consultations de
la notice

351

Téléchargements du document

470