Хотя Sun Microsystems и занималась активно безопасностью среды программирования Java, эксперты считают, что проделанной работы все же недостаточно.

Александр Ньюмен, исполнительный директор группы пользователей Sun, говорит, что Java проектировался так, чтобы он не мог причинить вреда. Однако в редких случаях апплеты Java все же могут вызвать крах системы.

Если хакер напишет "агрессивную" программу, потерпит ли она неудачу?

"Теоретически, все должно быть нормально, хотя в мире слишком уж много смышленых ребят, у которых есть масса свободного времени, - замечает Ньюмен. - Обойти систему защиты Java будет непросто, но, вероятно, это возможно".

Марианна Мюллер из Java Product Group компании Sun отзывается о тех, кто распространяет слухи о просчетах в системе безопасности Java, достаточно резко: "Продолжаются пустые дискуссии о так называемых просчетах в системе безопасности Java. Но пусть эти болтуны попробуют создать программу, демонстрирующую эти просчеты, и посмотрят, что с ней станет во время работы".

Мюллер сообщила, что недостатки в системе защиты Java по мере обнаружения будут сразу же исправляться, а их описание - передаваться на Web-узел компании Sun.

Вместе с тем Ньюмен предупреждает пользователей, чтобы они не вкладывали ложного смысла в понятие безопасности, употребляемое Sun в отношении Java.

Пол Макнаб, вице-президент компании Argus Systems, занимающейся системами безопасности данных для ОС Unix, перечисляет меры, принятые Sun для обеспечения этой функции в Java.

  • Язык спроектирован так, что ошибки в программе не должны приводить к деструктивным последствиям, например выходу за границы памяти и разрушению данных. "Программы на Java, - по его словам, - отличаются хорошим поведением".
  • Построение языка позволяет авторам регистрировать свои программы, что дает пользователям возможность установить подлинность программы по электронной подписи.
  • Из языка C++, взятого за основу для Java, были исключены многие возможности, позволяющие обойти меры безопасности.
  • Программа просмотра Web HotJava запрещает пользовательским программам доступ к защищенным файлам.

"HotJava не допускает бесконтрольного доступа к файлам, запрещая, по умолчанию, большинство потенциально опасных операций", - сказал Дэвид Чесс, эксперт по безопасности данных Уотсоновского исследовательского центра компании IBM.

Но все это не означает, что апплеты Java не создают проблем ни при каких обстоятельствах.

Например, пользователь может проигнорировать выдаваемые HotJava предупреждения о намерении программы выполнить запрещенное действие.

"Существует множество программ, пытающихся прочесть файлы, доступ к которым для них запрещен, и если пользователь устает от обилия предупреждений, он может просто отключить систему безопасности", - поясняет Чесс.

Компания Argus выпустила программу Decaf, которая обеспечивает безопасность в рамках до всего ПК или рабочей станции.

По словам Макнаба, эта программа позволяет администраторам помещать файлы, каталоги и устройства, в зоны "запрещенного доступа" для апплетов Java и других распространяющихся по сетям программных агентов, которые могут оказаться макровирусами.

Поделитесь материалом с коллегами и друзьями