tisdag 25 november 2008

NSA om .NET-säkerhet

National Security Agency (NSA) har precis släppt en 300-sidig publikation om .NET 2.0 Framework Security. Verkar vara digert material, mestadels om konfiguration och säker drift.

Efter att publikationen annonserats ut på Secure Coding Mailing List så utbröt ett mindre krig om designprincipen least privilege och Code Access Security i .NET (motsvarigheten till Javas SecurityManager osv).

Eftersom brasan redan brann så slängde jag in en känga om Javas säkerhetspolicy-mekanism. Kanske blir jag hängd i cyberrymden nu :).

1 kommentar:

Martin Holst Swende sa...

Håller med både dig och Gunnar. Säkerhetsmodellen i Java är ett monster, och det enda anledningen till att folk nånsin lägger ned tid på den ö h t är för att byta ut den till nedanstående när de upptäcker att den sätter käppar i hjulet för det de vill göra :

grant {
permission java.security.AllPermission;
};