Seguridad en Java 

Qué es Java 

Barreras de seguridad 

Agujeros 

Líneas futuras 

Cómo firmar applets 

Consejos 

Recursos 
Restricciones
Sistema de ficheros
Conexiones de red
Acceso al sistema
Manipulación de threads
Métodos nativos
Mensajes de alerta

Restricciones de Seguridad

Restricción de acceso a métodos nativos

Se conoce como métodos nativos a código escrito en otro lenguaje distinto de Java, como en C o en ensamblador. Las bibliotecas de métodos nativos, por un lado, resultan de crucial importancia para extender la funcionalidad base de la Máquina Virtual Java; por otro, constituyen la última puerta trasera de entrada, ya que pueden sortear los mecanismos de seguridad de Java, aunque no tienen por qué. Por este motivo, cargar una biblioteca de métodos nativos podría comprometer la seguridad de todo el sistema, ya que al no estar escritos en Java, no necesitan respetar las reglas de protección de Java y ni siquiera se les exige (aunque lo deberían hacer) el usar las clases existentes. Así, pueden acceder a los recursos locales del sistema, bien proveyendo acceso a nuevos recursos no contemplados en Java y sin protegerlos adecuadamente, bien burlando las comprobaciones de seguridad de Java.

En primer lugar, se debe estudiar si realmente resulta necesario implementar una biblioteca de métodos nativos (¿seguro que Java no hace eso que necesitas?). En caso afirmativo, tanto porque Java no esté capacitado para realizar la tarea, como por baja eficiencia en Java (como en rutinas matemáticas), si su uso está justificado, es importante integrar dicha biblioteca en el modelo de seguridad de Java.

Para ello, en segundo lugar, se deben identificar los recursos sensibles que podrían resultar expuestos por la biblioteca. Después, se puede diseñar un interfaz de seguridad para la biblioteca e implementar una política de seguridad conservadora. Desgraciadamente, estas tareas sólo están al alcance de programadores muy avanzados.

 

Copyright © 1997-1999 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.

Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.