Se encuentra en:
Uso de java.security.AllPermission
RECU-0601 (Recurso Ejemplo)
- Área: Control de Acceso y Autenticación
- Carácter del recurso: Obligatorio
Descripción
La clase java.security.AllPermission engloba todos los permisos definidos para una politica de permisos determinada. Se trata de un permiso cuya utilidad principal es la de permitir acceder a la totalidad de una aplicación durante la etapa de pruebas. Por tanto, es un permiso que no debe ser empleado fuera de la etapa de pruebas, salvo en casos en los que una aplicación o applet sea totalmente confiable y la política de permisos sea demasiado compleja como para realizar una asignación de todos los permisos existentes.
Ejemplos
Un ejemplo de código vulnerable es el siguiente:
protected PermissionCollection getPermissions(CodeSource cs) {
PermissionCollection pc = new Permissions();
pc.add(new java.security.AllPermission());
// other permissions
return pc;
}
Que podría solucionarse si utilizamos el siguiente código que no concede todos los permisos
protected PermissionCollection getPermissions(CodeSource cs) {
PermissionCollection pc = super.getPermissions(cs);
// add fine-grained permissions
return pc;
}
Contenidos relacionados
Pautas
Código | Título | Tipo | Carácter | |
---|---|---|---|---|
LIBP-0254 | Control de acceso | Libro de pautas | Directriz | Obligatoria |