¿Las aplicaciones XBAP tienen las mismas vulnerabilidades que las aplicaciones web de Java?

1

En respuesta a la decisión popular de deshabilitar las aplicaciones web de Java , se ha mencionado muy poco sobre las aplicaciones XBAP .

Las aplicaciones XBAP son similares a Silverlight, pero ofrecen más opciones para el desarrollador desde una perspectiva de sandbox.

  • ¿Las aplicaciones XBAP también deberían considerarse al deshabilitar las aplicaciones web de Java?

  • ¿Es IE el único navegador que debe preocuparse?

pregunta random65537 23.01.2013 - 19:23
fuente

2 respuestas

1

XABP también está documentado para ejecutarse en Firefox. Sin embargo, parece que Chrome no lo admite o en ningún navegador cuando el sistema operativo subyacente es Linux.

XBAP intenta aplicar el mismo modelo que los applets de Java, y se sabe que es un problema difícil, por lo que se puede esperar una parte justa de vulnerabilidades similares. P.ej. como éste , que es reciente (8 de enero) y parece aterrador ( secuestro completo de la computadora al navegar por una página web maliciosa), pero, por extraño que parezca, no aparece en las noticias, a diferencia de los agujeros del applet de Java. Creo que dice mucho sobre la implementación actual de XBAP (es decir, casi nadie lo usa, ni siquiera los posibles atacantes).

    
respondido por el Thomas Pornin 23.01.2013 - 19:40
fuente
0

Creo que en principio, la preocupación sería similar, aunque no conozco ninguna amenaza en particular que comprometa el contenedor XBAP. Java tiene vulnerabilidades de seguridad mucho más conocidas, pero un compromiso de la zona de pruebas en el CLR .Net sería tan dañino como un compromiso en la zona de pruebas de la máquina virtual de Java. Ambos se ejecutan en entornos limitados en sistemas que tienen disponible una funcionalidad de nivel de sistema si se rompe el entorno limitado. Al menos eso es lo que yo entiendo después de una rápida lectura en XBAP. (Aunque estoy familiarizado con el .Net CLR, no había oído hablar de XBAP antes de esta pregunta).

Actualización basada en la respuesta de Thomas Pornin. Parece que también hay un buen número de exploits en el sandbox .Net. Así que sí, problema muy similar a Java.

    
respondido por el AJ Henderson 23.01.2013 - 19:40
fuente

Lea otras preguntas en las etiquetas