С этим вопросом администраторам сетей приходится сталкиваться все чаще по мере того, как мини-приложения - или апплеты - на Java или ActiveX получают все большее распространение в Web.

Пытаясь противостоять аварийным ситуациям, которые могут возникнуть из-за использования такого кода, несколько крупных поставщиков брандмауэров взяли на вооружение технологию экранирования Java-приложений израильской компании Finjan.

На данный момент SurfinGate компании Finjan не экранирует апплеты ActiveX, но, по словам Лиора Арусси, вице-президента компании по маркетингу и продажам, следующая версия программы будет это делать.

"Реальную угрозу от апплетов очень трудно оценить, - утверждает Ричард Перлотто, менеджер по защите корпоративной сети в VLSI Technology. - Это неизвестная величина для нас".

Перлотто полагает, что средства для экранирования Java было бы целесообразно встроить в используемое VLSI Technology программное обеспечение Firewall-1 компании CheckPoint Software Technologies Ltd.

Боб Бичер, менеджер по проектам в Bell&Howell PSC Co, отметил, что продукт со времени появления ранней бета-версии проделал большой путь: "Сегодня он работает как обещано". SurfinGate анализирует содержимое приложений Java в реальном времени и создает профиль с описанием потенциального риска применения поступающей программы.

Если апплет нарушает принятую компанией политику информационной безопасности, то он отфильтровывается. Если же апплет пропускается, то эта самая политика определяет, какие файлы, память и сетевые ресурсы он может использовать.

Такая проверка может замедлить выполнение апплета, однако специалисты компании утверждают, что задержка будет минимальной.

Представители Finjan заявили, что фирма сотрудничает с CheckPoint Software, Raptor Systems, Milkyway Networks, Network-1 Software&Technology и Trusted Information Systems.

На демонстрациях вредоносные апплеты приводили к краху системы и пересылали найденные на машине данные указанному серверу. "В Германии хакеры из компьютерного клуба Chaos Computer Club продемонстрировали апплет, заставляющий программное обеспечение для оплаты счетов переводить деньги на счет хакера", - рассказал Жене Стаффорд, профессор информатики в Университете Пурду и соавтор книг "Practical Unix" и "Internet Security".

Он считает, что проблему загружаемых выполняемых кодов в Web нельзя решить простым экранированием кода Java.

"Закоренелый хакер, который располагает достаточными ресурсами и решил идти до конца, может обойти любую экранирующую программу, - убежден Ави Рубин, ведущий инженер в AT&T Bell Laboratories. - Брандмауэр не в состоянии справиться со всеми схемами кодирования."

Поделитесь материалом с коллегами и друзьями