Firma no confiable en la aplicación java para descargar youtube, ¿perjudicial?

Para descargar un video de YouTube, necesita hacer una conexión a Youtube enmascarado como su reproductor de video basado en Flash. Flash tiene algunos controles de seguridad que le impiden hacerlo desde otro archivo Flash que no es su reproductor de video, y las conexiones de XMLHttpRequest, WebSocket, applets de Java simple y Silverlight están deliberadamente limitadas de manera que también impiden que se realice la conexión correcta .

Por lo tanto, para descargar correctamente un video, debe poder realizar una conexión de red arbitraria. Esto es algo que solo una aplicación nativa completa o una aplicación Java con permisos similares puede hacer. Esto significa que hay dos formas de proporcionar un servicio de descarga de YouTube:

1. realice conexiones desde el software en su propio servidor para descargar el video;

2. proporcione al usuario una aplicación nativa o una aplicación Java con permiso similar para hacerlo desde su escritorio.

Algunos servicios han brindado (1) en el pasado, pero hace bastante obvio para YouTube que algo está mal cuando hay muchas conexiones con un perfil de visualización atípico provenientes de un pequeño rango de direcciones IP. Estos servicios tienden a ser bloqueados.

Por lo tanto, la mayoría de los sitios actualmente usan descargas de aplicaciones nativas y aplicaciones Java en su lugar. En el caso de Java, eso significa que tiene que otorgar al applet permisos adecuados antes de que se ejecute. No hay garantía de que no haya malware (lo más probable: una barra de herramientas de pago por instalación) en el applet, por lo que es tan peligroso como descargar y ejecutar un archivo .EXE.

Depende de usted si cree que correr es una oportunidad que vale la pena aprovechar. Siempre he probado estas cosas desde una VM virtual, por lo que vale la pena.

El mensaje que se queja sobre la firma digital es incidental. Un indicador de elevación de un applet debidamente firmado que no tiene esta advertencia, podría tener malware detrás de él de la misma manera. Toda la firma significaría que usted sabe a quién culpar después de infectarse. Muchos sitios utilizan applets sin firmar porque la firma de código / sellado de tiempo para Java es históricamente un poco molesto.

Bueno, no hay forma de saberlo con seguridad sin mirar la aplicación ... Aunque, parece increíblemente sospechoso.

Este mensaje le permite saber que su navegador está intentando iniciar un applet en modo confiable, lo que significa que el código Java tendrá control total sobre su sistema. Probablemente no debería aceptar, a menos que conozca (y confíe) al editor.

... Eso es exactamente lo que dice la advertencia.

El mensaje no indica nada sobre si el applet es dañino o no. Los applets de Java, de forma predeterminada, están muy limitados en lo que pueden hacer, en particular a qué hosts externos pueden conectarse. Esto es así para que los applets de Java puedan considerarse inofensivos, como en "declarwed".

Un applet de Java puede solicitar privilegios extendidos, pero la JVM solo los otorgará si el applet está firmado . Además, si la clave de la firma no forma parte de un certificado digital que enlaza con los certificados raíz que la JVM conoce de forma intrínseca, mostrará el mensaje que ve.

Entonces, el mensaje significa que:

• el applet está firmado, por lo que probablemente quiera realizar algunas operaciones que no están permitidas para un applet de Java sin firma;
• el desarrollador del applet no se molestó en comprar un certificado de $ 100 que habría sido aceptado ciegamente por la JVM (no se dice si el desarrollador era pobre, perezoso o quería permanecer en el anonimato);
• Si hace clic en "Ejecutar", el applet puede potencialmente ejecutar el código que desee en su máquina.

Así es como si un individuo enmascarado llamara a tu puerta y te pidiera educadamente que le entregaras una copia de las llaves de tu puerta. Esto no significa que no signifique automáticamente que dicho individuo tiene en mente el robo, tal vez sea el plomero enmascarado, que prestó un juramento para arreglar los grifos de ciudadanos comunes sin cargo alguno, pero usted podría tener derecho a Siento un poco de sospecha sobre los procedimientos. Si hace clic en "Ejecutar", está solo y se le ha advertido.

Para que un applet acceda al sistema de archivos local (y más permisos), debe estar firmado y su configuración de seguridad de Java debe estar en Medio (Nivel más bajo). Cuando se firma un applet, se abre una ventana de este tipo que solicita permisos. Los Applets Certificados (Virus - Gratis por seguro) se ejecutan incluso en el nivel de seguridad más alto.