Библиотека Рефераты Курсовые Дипломы Поиск
Библиотека Рефераты Курсовые Дипломы Поиск
сделать стартовой добавить в избранное
Кефирный гриб на сайте www.za4et.net.ru

Компьютеры, Программирование Компьютеры, Программирование

Новое - хорошо забытое старое

Гуашь "Классика", 12 цветов.
Гуашевые краски изготавливаются на основе натуральных компонентов и высококачестсвенных пигментов с добавлением консервантов, не
170 руб
Раздел: 7 и более цветов
Наклейки для поощрения "Смайлики 2".
Набор для поощрения на самоклеящейся бумаге. Формат 95х160 мм.
19 руб
Раздел: Наклейки для оценивания, поощрения
Совок №5.
Длина совка: 22 см. Цвет в ассортименте, без возможности выбора.
18 руб
Раздел: Совки

Крис Касперски Уязвимость java-приложений Производители java-машин довольно оперативно реагируют на сообщения об уязвимостях, выпуская многочисленные заплаты, неспешно устанавливаемые пользователями на компьютеры. В результате чего шансы на успешную атаку с течением времени неуклонно уменьшаются и в какой-то момент дыра становится неактуальной. Тем не менее даже корпоративные пользователи обновляют свои компьютеры отнюдь не мгновенно, и для реализации атаки у хакеров имеется от нескольких часов до нескольких дней. Более чем достаточно, особенно если учесть, что некоторые злоумышленники ведут круглосуточный мониторинг всех информационных ресурсов, публикующих сообщения о безопасности. Помимо этого злоумышленники активно занимаются самостоятельным поиском дыр, который иногда оказывается весьма плодотворным. К тому же не все дыры могут быть закрыты заплатками. В отличии от Си, исправление подавляющего большинства ошибок в котором носит характер мелкой косметической правки (к примеру, забыли проверить длину строки перед ее копированием), дефекты виртуальных Java-машин трансцендентальны —дыра не сосредоточена в какой-то конкретной строчке кода, а представляет собой некую комбинацию свойств виртуальной машины, что при стечении определенных обстоятельств приводит к возможности реализации атаки. Очевидно, что таких комбинаций у виртуальной машины очень много, аусловий взаимодействия еще больше. Поэтому ликвидация уязвимости требует огромной аналитической работы и существенной перестройки архитектуры виртуальной машины, что, в свою очередь, приводит к появлению новых дефектов. Тем более что производители виртуальных машин тяготеют к закрытию дыр простыми шаблонными фильтрами. Допустим, для реализации атаки необходимо задействовать свойства А, В и С. Допустим также, что подобная комбинация свойств практически не используется в обычных программах. Тогда производитель добавляет фильтр, блокирующий их выполнение. Но если представить свойство В в виде прямых (или побочных) эффектов свойств D и Е, то фильтр, очевидно, пропустит такую комбинацию. Отсюда следует важный вывод: даже если производитель рапортует об успешной ликвидации дыры и пользователи уже установили заплаты, это еще не значит, что дыры действительно нет. Исправляется ведь причина, а не следствие. Хакеры просто находят другой путь для достижения того же самого следствия, «воскрешая» дыры, о которых все забыли. Уязвимости, завязанные на спецификацию Java-машины и набор исполняемых ею команд, вообще невозможно залатать без потери совместимости с уже существующими Java-приложениями. В некоторых случаях помогает установка нового Java-компилятора с последующей пересборкой исходных текстов проекта, которых, кстати говоря, у большинства пользователей просто нет. Но даже если бы они и были, эту работу должен выполнять программист, поскольку следует заранее быть готовым к тому, что в тексты придется вносить изменения, иначе программа может отказаться собираться или поведет себя непредсказуемым образом. Обход системы типов Жесткая типизация языка Java предотвращает множество непредумышленных ошибок программирования, связанных с присвоением одного типа другому.

Защита реализована науровне виртуальной машины, а не в самом языке программирования (как, например, это сделано в Си ). Попытка совершить выход из функции, подсунув инструкции re ur массив или символьную строку вместо адреса возврата (типичный сценарий хакерской атаки на переполняющиеся буферы), приведет к аварийному завершению Java-приложения. На этом же держится контроль границ массивов, доступ к приватным полям классов и многое другое. Если перехитрить типизацию, можно сломать всю систему безопасности Java и делать практически все что угодно: переполнять буферы, вызывать приватные методы защищенных классов и т. д. Естественно, это уже будут умышленные «ошибки», построенные на слабости механизмов контроля типов. А хакерская атака и есть не что иное, как умышленный отход от спецификации. Далеко не все знают, что на уровне виртуальной машины Java-платформы защищены намного слабее, чем это следует из популярных руководств для чайников. В спецификации на JVM присутствует большое количество документированных инструкций для низкоуровневого преобразования типов: i2b, i2c, i2d, i2f, i2l, i2s, I2i, I2f, I2d, f2i, f 21, f 2d, d2i, d2l, d2f и даже пара команд для работы с классами: checkcs , i s a ceof. Их описание выложено на Более того, в пакете инструментария для разработчика Java-программ содержится официальный код, показывающий, как «правильно» преобразовать один тип к любому другому. Так что в некотором смысле это не взлом, а документированная особенность Java. Как используется эта особенность на практике? Допустим, мы имеем два класса: rus ed (исполняющийся в привилегированном интервале, а значит, владеющий всеми ресурсами виртуальной машины) и u rus ed (помещенный в «песочницу»). Допустим также, что класс rus ed имеет ряд приватных методов, предназначенных строго для внутреннего использования и скрытых от «внешнего мира» системой типизации. На бумаге эта схема выглядит безупречной, но в действительности ее легко обойти путем создания подложного класса (назовем его spoofed), полностью идентичного данному, но только с public-атрибутами вместо priva e. Явное преобразование экземпляров класса rus ed и spoofed позволит обращаться к защищенным методам, вызывая их не только из других классов, но даже из u rus ed-кода. Такой беспредел происходит потому, что в JVM отсутствует ru ime-проверка атрибутов полей класса при обращении к ним методами ge field/pu field. А если бы они и были (сжирая дополнительные процессорные такты), злоумышленнику ничего бы не стоило хакнуть атрибуты путем прямой модификации структуры класса двумя замечательными инструкциями JVM — ge Lo g и pu Lo g, специально предназначенными для низкоуровневого взаимодействия с памятью виртуальной Java-машины. Однако в этом случае атакующему придется учитывать версию JVM, поскольку «физическая» структура классов не остается постоянной, а подвержена существенным изменениям. Теперь перейдем к переполняющимся буферам. Как уже было сказано выше, Java контролирует выход за границы массивов на уровне JVM и потому случайно переполнить буфер невозможно. Однако это легко сделать умышленно—достаточно воспользоваться преобразованием типов, искусственно раздвинув границы массива.

При записи в буфер JVM отслеживает лишь выход индекса за его границы, но (по соображениям производительности) не проверяет, принадлежит ли записываемая память кому-то еще. Учитывая, что экземпляры классов (они же объекты) располагаются в памяти более или менее последовательно, можно свободно перезаписывать атрибуты, указатели и прочие данные остальных классов (в том числе и доверенных). Естественно, для реализации данной атаки необходимо написать зловредное Java-приложение и забросить его на целевой компьютер. Атаковать уже установленные приложения не получится, поскольку хакер не в состоянии осуществлять удаленное преобразование типов. Но и тут кое-какие зацепки есть. Некоторые программисты при переносе Си-программ на Java испытывают потребность в работе с указателями на блок «неразборчивых» данных заранее неизвестной длины. Java таких фокусов не позволяет, приходится выкручиваться путем явных преобразований. Фактически это означает, что программист сознательно отказывается от жесткой типизации и говорит Java-машине, что не надо проверять типы, границы массивов и т. п. Таким образом, нельзя априори утверждать, что Java-приложения свободны от ошибок переполнения буферов. Встречаются они, конечно, намного реже, чем в Си-программах, но все-таки встречаются. Обход верификатора Верификатор относится к одному из самых разрекламированных компонентов JVM. Весь Java-код (в том числе и добавляемый динамически) в обязательном порядке проходит через сложную систему многочисленных фильтров, озабоченных суровыми проверками на предмет корректности исполняемого кода. В частности, если тупо попытаться забросить на вершину стека массив командой aloadj, а потом уйти в возврат из функции по ire ur , верификатор немедленно встрепенется и этот номер не пройдет. Как и любая другая достаточно сложная программа, верификатор несовершенен и подвержен ошибкам. Первую ошибку обнаружил сотрудник Маргбурского университета Карстер Зор (Kars e Sohr) в далеком 1999-м, он обратил внимание на то, что верификатор начинает «буксовать» в случае, если последняя проверяемая инструкция находится внутри обработчика исключений. Что позволяет, в частности, осуществлять «нелегальное» преобразование одного класса к любому другому. Несмотря на то что данная ошибка уже давно устранена и сейчас представляет не более чем исторический интерес, сам факт ее наличия указывает на множество неоткрытых (а значит, еще не исправленных) дефектов верификатора. И учитывая резкое усложнение верификатора в последних версиях JVM, есть все основания полагать, что на безопасности это отразилось не лучшим образом. Ошибки в верификаторах виртуальных Java-машин обнаруживаются одна за другой — производители уже запыхались их латать, а пользователи устали ставить заплатки. Другой интересный момент—атака на отказ в обслуживании. Обычно для проверки метода, состоящего из инструкций виртуальной машины, верификатору требуется совершить итераций, в результате чего сложность линейно растет с размером класса. Если же каждая инструкция метода взаимодействует со всеми остальными (например, через стек или как-то еще), то верификатору уже требуется в квадрате итераций и сложность соответственно возрастает.

Известно, что новое – хорошо забытое старое. Зерновой хлеб люди с удовольствием употребляли еще до изобретения мельниц. Для тех, кто заботится о своем здоровье, стоит выбирать хлеб, изготовленный по специальной технологии с добавлением цельносмолотого зерна пшеницы. Такой хлеб обогащен пищевыми волокнами, которым свойственна незначительная усвояемость и высокая адсорбирующая способность. Зерновой хлеб улучшает деятельность желудочно-кишечного тракта, выводя шлаки из организма и очищая его, нормализует кровообращение. Врачи рекомендуют хлеб с повышенным содержанием пищевых волокон для профилактики атеросклероза, ишемической болезни сердца, гипертонии, ожирения, сахарного диабета и пониженной моторики кишечника. Зерновой хлеб является богатым источником витаминов А, Е, группы В и минеральных веществ – кальция, фосфора, железа, магния, меди и др. Вывод, важный для нас: зерновой хлеб является натуральным общеукрепляющим продуктом, улучшающим все функции организма. Как включать зерновой хлеб и хлопья зерновых в свой рацион? Например, вот что можно приготовить на завтрак: пшеничные хлопья с обезжиренным молоком, тост из зернового хлеба с яблочным пюре и несладким зеленым чаем

1. Новые сроки и старые разочарования

2. О старом и новом календарном стиле

3. Ломка старых традиций, зарождение новой культуры при Петре 1

4. Старые поэтические жанры на новом витке

5. Новая жизнь старой дороги

6. Старые законы в новых условиях
7. Д. Сёрл: старое и новое в понятии сознания
8. Новое о старой рыбе

9. Старый взгляд на новые вещи

10. Полемика о новом и старом слоге А.С. Шишкова

11. Старая Рига

12. Новейшее достижение в освоении космоса

13. Новейшие методы селекции: клеточная инженерия, генная инженерия, хромосомная инженерия

14. Страны НИС (новые индустриальные страны)

15. Типологизация развивающихся стран: традиционные критерии и новые подходы

16. Новые индустриальные страны: Южная Корея

Блокнот в точку. Bullet Journal.
Bullet Journal — эффективная система органайзеров, в основе которой лежит чистая страница в точку. В Bullet journal нет строгих правил —
422 руб
Раздел: Блокноты художественные
Детский трехколесный велосипед Jaguar (цвет: красный).
Облегченный трехколесный велосипед с родительской ручкой, для малышей от 2 до 4 лет. Удобный, маневренный, отличная модель для получения
2500 руб
Раздел: Трехколесные
Багетная рама "Agata" (цвет: бежевый), 40x50 см.
Багетные рамы предназначены для оформления картин на холсте, на картоне, а также вышивок и фотографий. Оформленное изделие всегда
698 руб
Раздел: Размер 40x50

17. Налоговая система России в новом правовом поле

18. Новый план счетов учета в банках за 2002 год

19. Шпоры по гражданскому процессу (Новый кодекс)

20. Япония в новое время (19 век)

21. Традиционные и новые оценки татаро-монгольского иго на Руси

22. Государственно-политическое устройство Ирана и становление новых органов власти после революции 1979г.
23. Финансовые возможности новых форм страхового бизнеса за рубежом
24. Шпоры по трудовому праву (Новый Кодекс)

25. Переход от "персонального" журнализма к "новому" в 80х-90х годах XIX веках в капиталистической прессе США

26. Новый взгляд на Библию

27. Аборигены Австралии и папуасы Новой Гвинеи

28. Европейская культура нового времени

29. Новые подходы к рассмотрению личности Печорина (М.Ю. Лермонтов "Герой нашего времени")

30. Новое в русском языке

31. Творчество Чехова. Истоки "новой драмы"

32. Понятие счастья в поэме Некрасова "Кому на Руси жить хорошо?"

Подушка Нордтекс "Магия сна", 70х70 см.
Наполнитель: полиэстер. Ткань чехла: микрофибра. Размер: 70х70 см.
556 руб
Раздел: Размер 70х70 см
Развивающая игра "Чудо - молоток".
Игра развивает творческий потенциал ребенка, способствует тренировке мелкой моторики, внимания, памяти. Играть в нее можно как одному,
1053 руб
Раздел: Прочие
Игра-головоломка "Орбо" (Orbo).
Головоломка Орбо – это абстрактная головоломка в виде белого шара с разноцветными шариками внутри. Она понравится как детям, так и
616 руб
Раздел: Головоломки

33. Владение новыми музыкальными технологиями - необходимое условие в профессиональной подготовки учителя музыки

34. Новейшая история Монголии

35. Новая экономическая политика (HЭП)

36. Новая Экономическая Политика

37. Буржуазный прогресс в Европе в Новое время

38. Новая экономическая политика
39. Киевская Русь. Монголо-татарское нашествие и его последствия. Создание Российского централизованного государства. Европа в начале Нового времени. Московское царство (Методические указания)
40. Новейшая мировая история. Периодизация 1945-2000

41. Оккупация Псковской области немецко-фашисткими захватчиками. "Новый порядок"

42. Новейшая история США

43. Новые страницы истории гражданской войны в Прикамье

44. Роль СССР в становлении новой немецкой государственности в 1945-1949 годах

45. Новая экономическая политика и командно-административная система

46. Народные и церковные праздники старой Москвы

47. Процессоры нового поколения и перспективы их развития

48. Новейшие достижения в информатике

Футбольный мяч "St. Petersburg", 23 см.
Размер: 5 (23 см). Плотность материала: 350 грамм. Материал: TPU+EVA.
729 руб
Раздел: Игрушки, фигурки
Настольная игра "Каркассон".
«Каркассон» — настоящий настольный шедевр с простыми правилами и глубоким игровым процессом. Ход за ходом участники партии создают
990 руб
Раздел: Классические игры
Настольная игра "Свинтус. Правила Этикета" (новая версия).
Об игре Перед вами расширенная версия карточного бестселлера «Свинтус»! Помимо полного набора карт из оригинала, в игру добавлены новые 12
390 руб
Раздел: Игры в дорогу

49. Перспективы развития компьютерной техники (новейшие разработки 2005г.)

50. Новые информационные технологии обучения в математике

51. Пневмонии. Антибактериальная терапия. Новые подходы к лечению

52. Криминалистическое исследование документов. Новые и перспективные методы исследования письменной речи

53. В борьбе с терроризмом все средства хороши!

54. Частная школа и новые методы образования
55. Проблемы нового мира
56. Союз России и Белоруссии – это хорошо или плохо?

57. Новые политические институты России конца XX-начала XXI вв.

58. Новое информационное общество

59. Секты и методы вовлечения новых членов

60. Проект новой участковой станции

61. Новая и новейшая история /религия/

62. Секты и методы вовлечения новых членов

63. Христианский брак (Новый Завет)

64. Новый аграрный поселок – главный центр первичной территориальной системы

Нож-скальпель, 2 запасных лезвия.
Нож канцелярский (скальпель) предназначен для аккуратной и точной работы по бумаге. Резиновый грип препятствует скольжению
349 руб
Раздел: Ножи, ножницы, резаки
Подставка под ноги "Мишки" антискользящая.
Подставка для ног от торговой марки Tega поможет крохе самостоятельно воспользоваться умывальником, унитазом или достать до высокого
449 руб
Раздел: Подставки под ноги
Рюкзак детский, 30x24x10 см.
Рюкзак детский с вместительным основным отделением и дополнительными карманами. Лямки регулируются. Размер: 30х24х10 см. Материал:
419 руб
Раздел: Без наполнения

65. Организация селекционного процесса по выведению нового сорта черешни

66. Социологическое исследование на тему: «Встреча Нового года»

67. Историко-философское становление научной методологии в период Нового времени

68. Технологическая революция, как новейший этап современной НТР

69. Философия Нового времени

70. Этика средневековья и нового времени
71. Философия эпохи Возрождения и Нового времени
72. Философия Нового времени и становление первой научной картины мира

73. Организация компьютерного центра "Ультра Стар"

74. Экономическая оценка использования новых информационных технологий в бухгалтерском учете

75. Бухгалтерский учет ценных бумаг (по новому плану счетов)

76. Новый План счетов 2004г.

77. Использование функционально-стоимостного анализа при создании стоимости нового товара

78. Маркетинг нового продукта

79. Новая валюта ЕВРО

80. Предпосылки создания и будущее новой европейской валюты - евро (Доклад)

Стул для школьника регулируемый Polini City / Polini Smart L (цвет: белый/серый).
Регулируемый стул подходит к растущей парте-трансформер Polini Simple М1 75х55 см, белый-серый и растущей парте-трансформер Polini Simple
2629 руб
Раздел: Стульчики
Набор из 2 раций "Секретные рации. Тачки".
В настоящих шпионских играх секретная рация — необходимый атрибут! Один аппарат оставь себе, а другой отдай напарнику — переговоры можно
715 руб
Раздел: Шпионские штучки
Декоративная наклейка-ростомер "Жираф", арт. EZG-1005.
Размер: 40x75 см.
366 руб
Раздел: Ростомеры

81. Евро - новая единая европейская валюта

82. Развитие управленческой предприимчивости в новых условиях хозяйствования на примере ОАО "Курганмолпром"

83. Организация подготовки производства к выпуску новой продукции

84. Коучинг как новая технология развития и обучения персонала

85. Приём на работу новых сотрудников

86. Экономическая эффективность внедрения нового локомотива
87. Новая модель экономики и общественного устройства
88. Нужна ли новой экономике новая концепция конкуренции ?

89. Евро - новая международная валюта, ее роль в мирохозяйственных связях

90. Старая Рига

91. Ново-Вавилонское царство

92. Распад Старо-Вавилонского царства. Касситское царство

93. Египет в период XX династии и конец Нового царства

94. Забытая родословная Рюрика

95. Михаил Фёдорович.- Борьба с врагами, заселение новых земель

96. Египет - Новое царство

Копилка декоративная "Блюд", 13x11x14 см.
Копилка декоративная. Материал: полистоун. Размер: 13x11x14 см.
334 руб
Раздел: Копилки
Коктейли.
Создание коктейля - сродни созданию музыки! Мало расположить ноты в определенном порядке, нужно, чтобы они ожили и зазвучали. Сочиняя
378 руб
Раздел: Подарочные наборы
Казан Вок "Webber" BE-905/30, 4,4 л.
Объем: 4,4 л. Диаметр: 30 см. Глубина: 10,5 см. Толщина дна: 7 мм. Толщина стенок: 4 мм. Глубокий вок из облегченного чугуна серии «Черный
1407 руб
Раздел: Казаны

97. Волны миграции. Новая ситуация

98. Украина в новейшее время

99. Английские колонии в Новом Свете. Порядок управления колониями


Поиск Рефератов на сайте za4eti.ru Вы студент, и у Вас нет времени на выполнение письменных работ (рефератов, курсовых и дипломов)? Мы сможем Вам в этом помочь. Возможно, Вам подойдет что-то из ПЕРЕЧНЯ ПРЕДМЕТОВ И ДИСЦИПЛИН, ПО КОТОРЫМ ВЫПОЛНЯЮТСЯ РЕФЕРАТЫ, КУРСОВЫЕ И ДИПЛОМНЫЕ РАБОТЫ. 
Вы можете поискать нужную Вам работу в КОЛЛЕКЦИИ ГОТОВЫХ РЕФЕРАТОВ, КУРСОВЫХ И ДИПЛОМНЫХ РАБОТ, выполненных преподавателями московских ВУЗов за период более чем 10-летней работы. Эти работы Вы можете бесплатно СКАЧАТЬ.