我在进行更新时查看了我的java应用程序的安全威胁。 还在寻找更新我的应用程序的方法。如果需要紧急更新,则会强制更新用户。这些更新方式的安全性问题又是什么?
答案 0 :(得分:1)
你需要更加具体。您使用什么机制来更新您的应用程序?
更新应用程序的方法是,例如,替换单个类文件。 通常,您必须检查更新的来源。可能的攻击者可能会尝试伪造Update(类文件)以进入主机。要抵御此威胁,您应使用私钥对更新进行签名,并使用您的公钥检查签名是否有效。 (总的来说,你应该签署你的应用程序/ jar文件)(Java Code Signing) 如果攻击者试图欺骗用户安装一些被操纵的更新,代码签名也很有用。
如果使用对象序列化,则需要了解其他点(Object (De-)Serialization Vulnerabilities)
关于更新java应用程序的另一个问题Stackoverflow:How can I write a Java application that can update itself at runtime?