Se encuentra en:
MADEJA 1.4.0 » Subsistemas » Desarrollo » Seguridad » Control de Acceso y Autenticación »

Uso de java.security.AllPermission

RECU-0601 (Recurso Ejemplo)

Descripción

La clase java.security.AllPermission engloba todos los permisos definidos para una politica de permisos determinada. Se trata de un permiso cuya utilidad principal es la de permitir acceder a la totalidad de una aplicación durante la etapa de pruebas. Por tanto, es un permiso que no debe ser empleado fuera de la etapa de pruebas, salvo en casos en los que una aplicación o applet sea totalmente confiable y la política de permisos sea demasiado compleja como para realizar una asignación de todos los permisos existentes.

Ejemplos

Un ejemplo de código vulnerable es el siguiente:

protected PermissionCollection getPermissions(CodeSource cs) {
  PermissionCollection pc = new Permissions();
  pc.add(new java.security.AllPermission());   
  // other permissions
  return pc;
}

 

Que podría solucionarse si utilizamos el siguiente código que no concede todos los permisos

protected PermissionCollection getPermissions(CodeSource cs) {
  PermissionCollection pc = super.getPermissions(cs);
  // add fine-grained permissions
  return pc;
}

Contenidos relacionados

Pautas
Área: Desarrollo » Seguridad » Control de Acceso y Autenticación
Código Título Tipo Carácter
LIBP-0254 Control de acceso Libro de pautas Directriz Obligatoria
‹ Uso de getPermissions() subir nivel Uso del modulo Login Security en Drupal ›