আমার প্রশাসককে কীভাবে বোঝাবেন যে জাভা অন সার্ভারের ক্ষেত্রে নিরাপদ নয়?


13

আবেদনপত্র

আমাদের কাছে একটি ছোট জাভা অ্যাপ্লিকেশন রয়েছে যা ওয়েবসার্ভার থেকে আপলোড করা ফাইলগুলি তুলতে, সেগুলি প্রক্রিয়া করতে এবং ফলাফলগুলি সহ কিছু ইমেল প্রেরণে কয়েকটি উট রুট ব্যবহার করে।

যে অ্যাপ্লিকেশনটিতে এই অ্যাপ্লিকেশনটি চলছে সেটিকে বাতিল করা হয়েছে। আপাতত আমাদের এটি আন্ডারপাওয়ার্ড হার্ডওয়ারে চালাতে হবে, কারণ আমি অ্যাডমিনকে ওয়েবসারভারে একটি জেআরই ইনস্টল করতে রাজি করতে পারি না (এটি আসলে একটি বহুমুখী সার্ভার)।

ভয়

আমি নিজে একটি জাভা অ্যাপ্লিকেশন ইঞ্জিনিয়ার, আমি প্রতি সপ্তাহে কয়েক হাজার € ইউরো মূল্যমানের বি 2 বি লেনদেন পরিচালনার জন্য জেইই কোডটি লিখি। তবে আমার কাছে বিশ্বাসযোগ্য উত্সগুলি খুঁজে পেতে সমস্যা আছে যা এই মিথটিকে খণ্ডন করে যে জাভা প্রতি সেমি নিরাপদ।

জেআরই ইনস্টল করার বিরুদ্ধে প্রশাসকের দুটি প্রধান যুক্তি:

  1. জাভা অ্যাপ্লিকেশনগুলি আমার সমস্ত র‍্যাম খায়
  2. জাভা দুর্বলতায় পূর্ণ

সত্যটি?

যখন জাভা অ্যাপ্লিকেশন আসে রাম খাওয়া। ঠিক আছে ... আমি বলতে চাই এক্সএমএক্সের জন্য আমাদের সঠিক মান নির্ধারণ করতে হবে। সম্পন্ন.

এখন জাভা অনেক দুর্বলতা সম্পর্কে অনেক উত্স কথা বলছে। এই উত্সগুলি মূলত শেষ ব্যবহারকারীদের রেডমন্ড / মার্কিন যুক্তরাষ্ট্রের একটি সংস্থা থেকে একটি নির্দিষ্ট অপারেটিং সিস্টেম চালাচ্ছে তাদের লক্ষ্য করে। আফাখেক জাভা ব্রাউজার প্লাগিনের অপরিবর্তিত সংস্করণগুলির ক্ষেত্রে এটি সত্য হতে পারে যা সমস্ত অ্যাপলেট স্বয়ংক্রিয়ভাবে চালনার জন্য কনফিগার করা হয়েছে, যে সংক্রমণের ফলে ড্রাইভের শিকার হওয়ার বড় সম্ভাবনা রয়েছে। আপনার ট্রেনে কাজ করার সময় ইভিওনের সাথে অনিরাপদ যৌন সম্পর্ক স্থাপন করার সময় যেমন কোনও এসটিডি ধরা পড়ার ঝুঁকি রয়েছে।

তবে আমি বিশ্বব্যাপী আন্তঃবিবেজে এমন কাউকে পাইনি যিনি সার্ভার অ্যাপ্লিকেশনগুলি বা জেআরই-র শিরোনামহীন চলছে about এটা সম্পূর্ণ অন্য জিনিস।

নাকি আমি এখানে কিছু মিস করছি?

[2014-08-28 সম্পাদনা করুন] স্পষ্টতা: আমি কেবল সার্ভারে জাভা সম্পর্কে উদ্বিগ্ন। আমি জাভা প্লাগিন এবং / অথবা জাভাতে তৈরি নির্দিষ্ট সফ্টওয়্যার নিয়ে সমস্যা নিয়ে মাথা ঘামাই না।


7
যদি এটিতে থাকা হার্ডওয়্যারটি প্রদর্শিতভাবে নিম্নশক্ত হয়ে থাকে এবং সমস্যা তৈরি করে থাকে তবে এসএর উদ্বেগগুলি পাশাপাশি নতুন হার্ডওয়্যার পাওয়ার জন্য আপনার অবশ্যই ব্যবসায়ের মামলা রয়েছে।
ব্যবহারকারী 9517

4
তাকে বোঝান যে এটি আপনার সংস্থার কোড নয়, তিনি কেবলমাত্র ডেইলিওটিএফ.কম এ দেখেছেন।
মাইকেল হ্যাম্পটন

9
জাভা এর মোটামুটি বছর ২০১৩ সালে ছিল There সেখানে 0 ওয়েবসাইটের শোষণের উপর নজর রাখার মতো একটি ওয়েবসাইট ছিল যা তারা সবেমাত্র চালিয়ে চলেছে । গত বছরের মাঝামাঝি থেকে কোনও 0-দিনের শোষণ হয়নি, তবে গবেষকরা এখনও কেবল এই বছর 107 টি জাভা সিভিই খুঁজে পেয়েছেন । এটি "সুরক্ষিত" থেকে দীর্ঘ পথ।
ক্রিস এস

5
আপনার অ্যাপ্লিকেশনটিতে দূষিত ডেটা খাওয়ানোর মাধ্যমে আমি কি একটি জেভিএম বাগ ট্রিগার করতে পারি? তুমি বরং এটা বিশ্বাস কর. আর বেশ ঐ CVEs কয়েক সার্ভার, উপর জাভা চলমান সঙ্গে সম্পর্কযুক্ত না চলিত উইন্ডোজ ডেস্কটপ ব্রাউজার প্লাগইন।
মাইকেল হ্যাম্পটন

3
@ লাজুয়েট আমি একটি কারণে 107 নম্বরটির সাথে একটি লিঙ্ক সরবরাহ করেছি - আপনি যদি এখনই জিজ্ঞাসা করে এমন সমস্ত প্রশ্নগুলির উত্তর দেওয়া হত have এই 107 টির মধ্যে কিছু অ্যান্ড্রয়েডের ডালভাকের মতো অ-ওরাকল বাস্তবায়নের সাথে সম্পর্কিত, তবে বেশিরভাগ অংশই ওরাকল প্রয়োগের সাথে সম্পর্কিত। জাভা অন্তর্নিহিতভাবে অনিরাপদ নয়, তবে সান / ওরাকলসের জেআরই সমস্যাগুলি নিয়ে জটিল। পিএইচপি, পার্ল, রুবি সবার দুর্বলতাও রয়েছে - এগুলির কোনওটিই নিখুঁত নয়। আমি বলতে পারি জাভা বর্তমানে এর চেয়ে ভাল বা খারাপ কিনা, তবে গত এক বছরে এটি অবশ্যই সুরক্ষা শিল্পের বেত্রাঘাতের ছেলে।
ক্রিস এস

উত্তর:


18

অতিরিক্ত পরিবেশের জাভা আপনার পরিবেশে রাখে তা জটিল এবং এটিকে এড়িয়ে যাওয়া বা এটিকে সরল করার চেষ্টা না করা গুরুত্বপূর্ণ।

প্রথমত, সুরক্ষা বাগ থাকার জন্য জেআরই'র কাছে রয়েছে ভয়াবহ রেকর্ড। কোনও নির্দিষ্টটিকে চিহ্নিত করা শক্ত, এবং এটিই ভীতিকর অংশ - বাগগুলি অনির্ধারিত ভেক্টরগুলির সাথে অতিরঞ্জিত দুর্বলতা।

আমি যখন সুরক্ষার পরামর্শদাতা হিসাবে, তাদের অর্থ সম্পর্কে আরও যোগ্যতা ছাড়াই "রিমোট আক্রমণকারীকে অনুমতি দেয়" এর মতো ধারাগুলি পড়ে থাকি, আমি দেখি যে এটির খুব ভাল অর্থ হতে পারে যে কোনও নির্দিষ্ট ফাংশনে প্রবেশ করা নির্দিষ্ট পরামিতিগুলি ঝুঁকিপূর্ণ অবস্থার দিকে ঝুঁকতে পারে, এমনকি যদি আপনি আপনি লিখেছেন কেবল কোড চলছে। এবং, যেহেতু তারা অনির্ধারিত, তাই আপনি প্রভাবিত হয়েছেন কিনা তা জানতে পারবেন না।

আরও ভাল, ওরাকল দ্বারা প্রকাশিত ক্যানোনিকাল জেআরইতে প্রায় সমস্ত সিকিউরিটি আপডেট সহ সমালোচনামূলক আপডেটগুলির জন্য বিবৃত ত্রৈমাসিক আপডেট চক্র রয়েছে। তারা গত চার বছরে মোট ১১ বার চক্র প্যাচ তৈরি করেছে। এর অর্থ হ'ল এটির কোনও সমাধান করার আগে আপনার কাছে কোনও সম্ভাব্যতা থাকার আগে এটি প্রতিবেদন করার তিন মাস পর্যন্ত সুরক্ষা বাগের পক্ষে আপনি ঝুঁকির মধ্যে পড়ে যেতে পারেন।

জাভা নিয়ে অন্যান্য সমস্যা রয়েছে যা আমি এখানে won'tুকব না, তবে সত্যই, মনে হচ্ছে এখানে ন্যায়সঙ্গত উদ্বেগ রয়েছে, বিশেষত একটি বহুমুখী সার্ভারের জন্য। যদি আপনাকে এ জাতীয় জিনিস চালাতে হয় তবে আপনার পক্ষে এটির জন্য কমপক্ষে একটি একক উদ্দেশ্যমূলক ভিএম তৈরি করা উচিত এবং এটিকে অন্যান্য জিনিস থেকে আলাদা করা উচিত।

বিশেষত, যদি জেআরইতে এমন কোনও রিমোট থাকে যা আক্রমণকারীকে আরসিই অর্জন করতে দেয় এবং পিএইচপি-তে আরেকটি করে যা একই কাজ করে, এবং অন্যটি রুবিতে আবার একই কাজ করে, আপনাকে তিনটিই প্যাচ করতে হবে। এই তিনটি জিনিস চলার সাথে তিনটিই কিছুটা সম্ভবত বলে মনে হচ্ছে এবং আক্রমণকারী যাকে সবচেয়ে সুবিধাজনক তা চয়ন করতে এবং তারপরে পুরো সার্ভারটির মালিক হতে পারে। এজন্য আমাদের আলাদা আলাদা সফটওয়্যার, বিশেষত পরিচালিত ভাষার ফ্রেমওয়ার্কগুলির মতো বগি সফ্টওয়্যার এবং বিশেষত যারা বছরে চারবার সুরক্ষা প্যাচগুলি বান্ডিল করে এবং যে কোনও বিক্রেতার মালিকানাধীন যারা সমস্ত প্রমাণের মুখোমুখি হন যে তারা প্রমাণ হিসাবে প্রমাণ করে যে তাদের আলাদা করার জন্য আমাদের ভিএম ব্যবহার করা উচিত নিরাপত্তা।

আপডেট করার জন্য, এখানে প্রদর্শিত কয়েকটি সিভিই আমি ক্রিসের সংযুক্ত সিভিই অনুসন্ধান থেকে চেরি-বাছাই করেছি, প্রদর্শনের মাধ্যমে।

এবং আমার প্রিয়, যেহেতু আমি সেখানে ছিলাম:

এটি কেবল একটি ছোট্ট নমুনা the


6

জাভা অ্যাপ্লিকেশনগুলি আমার সমস্ত র‍্যাম খায়

র‌্যাম ব্যবহারের বিকল্প হ'ল র‌্যাম নষ্ট করা। আপনি এটি পরে সংরক্ষণ করতে পারবেন না।

জাভা দুর্বলতায় পূর্ণ

এটি সত্যিই গুরুত্বপূর্ণ নয় কারণ আপনি জেভিএমকে বিশ্বের কাছে প্রকাশ করবেন না। আমার ধারণা আপনি কোনও প্রতিকূল প্রোগ্রাম চালাবেন না এবং আপনি যদি হন তবে জাভা অন্যান্য ভাষার চেয়ে নিরাপদ। আপনার অ্যাপ্লিকেশনগুলির দুর্বলতা রয়েছে কি না তা গুরুত্বপূর্ণ।


3
ঠিক আছে, সুতরাং কারণ কাজ করে না। আপনার অনুপ্রেরণা সরঞ্জাম বাক্সে অন্য কোন সরঞ্জাম রয়েছে? আপনার কি কোনও মরিচা প্লাস আছে?
ডেভিড শোয়ার্টজ

1
@ ফ্যালকনমোটো হ্যাঁ, কার্নেল ফাইলগুলি ক্যাশে করতে এটি ব্যবহার করতে পারে। এর জন্য আরও ভাল ব্যবহার করা থাকলে কার্নেলটি JVM থেকে মেমরি সরিয়ে নিতে পারে। প্রতিটি আধুনিক ওএস কাজ করে যে কত সুন্দর। র‌্যাম ব্যবহারের বিকল্প হ'ল র‌্যাম নষ্ট করা। র‍্যাম সেরা উদ্দেশ্যে চলেছে তা নিশ্চিত করার জন্য ওএসের বিশেষত একটি মেমরি পরিচালক রয়েছে। "জাভা অ্যাপ্লিকেশনগুলি আমার সমস্ত র‍্যাম খায়" এর মতো যুক্তি প্রায়শই এমন প্রশাসককে নির্দেশ করে যা আধুনিক অপারেটিং সিস্টেমগুলি কীভাবে র‌্যাম ব্যবহার করে তা বোঝে না।
ডেভিড শোয়ার্জ

1
যদি জেভিএম মেমরিটি মুক্ত না করে, এটি করার জন্য এটি এটিকে অদলবদল স্থানে (যদি এটি থাকে) করতে হবে, যা ধীর। কার্নেল আবর্জনা সংগ্রহকারীকে ডাকতে পারে না। এছাড়াও, ফাইল ক্যাচিং সাধারণত ব্যবহারকারীর স্পেস বরাদ্দের চেয়ে কম অগ্রাধিকার হয় যদিও সেগুলি খুব কম ব্যবহার করা হয় (কর্নেল যতটা বলতে পারে যে সেগুলি খুব কমই ব্যবহৃত হয়, যা খুব ভাল নয়)।
ফ্যালকন মোমোট

3
লিনাক্স ক্যাশে একটিসাথে র‌্যামের ব্লক কীভাবে ব্যবহার করতে পারে সে সম্পর্কে আমি আরও জানতে চাইছি যখন একটি প্রক্রিয়া এখনও মনে করে যে এটি এর মালিকানাধীন। এর আগে আমি এর আগে কখনও শুনিনি।
মাইকেল হ্যাম্পটন

1
@ ফ্যালকনমোট কার্নেলটি র‌্যামটি "ফ্রি" মুক্ত তা জানা দরকার নেই। অ্যাপ্লিকেশন পৃষ্ঠাগুলি লক না করে কার্নেলের সর্বদা র‍্যাম ব্যবহারে নিয়ন্ত্রণ থাকে। র‌্যামটি ফিরে পেতে কেবল ম্যাপ করা পৃষ্ঠাগুলি বাতিল করতে হবে। যদি ডেটাটি কিছু সময়ের জন্য অপরিবর্তিত থাকে এবং অব্যবহৃত থাকে এবং আমি / ও ব্যান্ডউইথ স্যাচুরেটেড না হয় তবে এটি সুবিধাজনকভাবে এটি অদলবদল করে লিখতে পারে, পৃষ্ঠাগুলি বাতিল করে দেওয়া যায়, এটি আরও ভাল ব্যবহারের সাথে সাথেই র্যামটিকে পুনরায় দাবি করতে সক্ষম করে allowing এর জন্য. (আধুনিক স্পেসিফিক ম্যানেজমেন্ট কীভাবে কাজ করে তা ব্যাখ্যা করার জন্য এই স্থানটি এত বড় নয়, তবে মনে হচ্ছে আপনার কিছু খুব সাধারণ ভুল ধারণা রয়েছে))
ডেভিড শোয়ার্জ

2

আপনার প্রোগ্রামে স্থির বিশ্লেষণ করতে কোনও সংস্থা নিয়োগ করুন। ভেরাকোড, উদাহরণস্বরূপ, এমন একটি সংস্থা যা আমি বিশেষত জাভা প্রোগ্রামগুলির কোড সুরক্ষা নিরীক্ষণের জন্য ব্যবহার করেছি।

আপনার প্রশাসক দলের চার্জ কোডটি স্পষ্টতই বিল করুন।


1

ব্যাখ্যা করুন যে অন্য সমস্ত ভাষা (বা ভার্চুয়াল মেশিনগুলি) জাভা হিসাবে ঠিক তেমন কোড দ্বারা তাদের উপর স্থাপন করা কোড দ্বারা সুরক্ষিত হতে পারে। যদি তিনি মনে করেন যে অন্য প্ল্যাটফর্মগুলি সুরক্ষা সঠিকভাবে সম্বোধন না করে অন্তর্নিহিত সুরক্ষিত (বা জাভা থেকে আরও সুরক্ষিত) হয় তবে তিনি বিভ্রান্তিকর।

আপনার সংস্থা স্পষ্টতই একটি জাভা বিকাশকারী নিয়োগের জন্য বিনিয়োগ করেছে, সিসাদমিন কেন সংস্থাটি যে প্রযুক্তি ব্যবহারের সিদ্ধান্ত নিয়েছে তা সমর্থন করতে অস্বীকার করছে?

আমি প্রশ্নটি ফ্লিপ করব এবং তাকে জিজ্ঞাসা করব যে তিনি কী বিকল্পগুলি প্রস্তাব করেন এবং কীভাবে তারা অতি সুনির্দিষ্ট শর্তে সর্বশেষতম সার্ভার জেআরই উপলব্ধ থেকে বেশি সুরক্ষিত। মাঝামাঝি সময়ে, আপনার প্রযুক্তি, সম্ভাব্য আক্রমণ পৃষ্ঠ এবং আপনি এটি হ্রাস করার জন্য কাজ করেছেন (উদাহরণস্বরূপ অপ্রয়োজনীয় ফ্রেমওয়ার্ক, তৃতীয় পক্ষের কোড ইত্যাদি) বোঝানোর জন্য কাজ করুন। আপনার কোড যাচাই করে নিন, আপনি গত দশ বছরে যে ফ্রেমওয়ার্কগুলিতে নির্ভর করেছেন তার জন্য প্রকাশিত দুর্বলতার সন্ধান করুন, অন্যান্য ভাষা / ফ্রেমওয়ার্কের সাথে এটি তুলনা করুন (মার্কেটশেয়ারকেও অন্তর্ভুক্ত করার বিষয়টি নিশ্চিত করুন, প্রকাশিত দুর্বলতা ছাড়াই অস্পষ্ট ফ্রেমওয়ার্কের অর্থ কিছুই নেই)।

আপনার দুজনের মধ্যে পুরো রূপান্তরটি কীভাবে ঘটেছিল তা আমরা সম্ভবত জানতে পারি না তবে এটি যদি তার দুটি তর্ক ছিল তবে আমি বিশ্বাস করি আপনি কোনও জুনিয়র সিস্টেম প্রশাসকের সাথে কথা বলছেন। জাভা অ্যাপ্লিকেশন সার্ভারের সাথে কি তার অভিজ্ঞতা আছে? সম্ভবত তিনি প্রযুক্তিতে অস্বস্তি এবং পুরোপুরি বুঝতে না পেরে কিছু উত্পাদনে ফেলতে ভয় পান (তখনকার সাসডমিনের ভাল মনোভাব)।


ধন্যবাদ। আমরা কোনও সংস্থার কথা বলছি না। বরং একটি অলাভজনক সমিতি। আউট সিসাদমিনের আইটি ও বিপণনে ডাক্তার রয়েছে তবে এটি "রিয়েল" সিসাদমিন নয়। এবং হ্যাঁ: আমি বিশ্বাস করি তিনি জাভা সম্পর্কে ভীত, যা তিনি পুরোপুরি বুঝতে পারেন না।
ল্যাজুয়েট
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.