it-swarm-ja.tech

Javaサンドボックスを作成するにはどうすればよいですか?

他の人のコード、つまりプラグインを実行できるようにアプリケーションを作成したいと思います。ただし、悪意のあるコードを記述しないように、これを安全にするにはどのようなオプションが必要ですか。彼らができること、できないことをどのように制御しますか?

JVMに「組み込みのサンドボックス」機能があることを偶然見つけました。これは何で、これが唯一の方法ですか?サンドボックスを作成するためのサードパーティのJavaライブラリはありますか?

どのようなオプションがありますか?ガイドや例へのリンクは高く評価されています!

46
corgrath

セキュリティマネージャ を探しています。 policy を指定して、アプリケーションの権限を制限できます。

23
tangens
  • 独自のセキュリティマネージャーを定義して登録することで、コードの機能を制限できます。Oracleのドキュメントで SecurityManager を参照してください。

  • また、コードをロードするための別のメカニズムを作成することを検討してください。つまり、別のClassloaderを記述またはインスタンス化して、特別な場所からコードをロードすることができます。たとえば、特別なディレクトリから、または特別にフォーマットされたZipファイル(WARファイルやJARファイルとして)からコードをロードするための規則がある場合があります。クラスローダーを作成している場合は、コードをロードするための作業を行う必要があります。これは、何か(または何らかの依存関係)を拒否したい場合、コードのロードに失敗する可能性があることを意味します。 http://Java.Sun.com/javase/6/docs/api/Java/lang/ClassLoader.html

18
Dafydd Rees

信頼できないコードを実行する非常に柔軟なサンドボックスを簡単に作成できる Java-sandboxプロジェクト をご覧ください。

5
Arno Mittelbach

AWT/Swingアプリケーションの場合、非標準のAppContextクラスを使用する必要があります。これはいつでも変更される可能性があります。したがって、効果を上げるには、プラグインコードを実行する別のプロセスを開始し、2つのプロセス間の通信(Chromeに少し似ている)を処理する必要があります。プラグインプロセスでは、プラグインコードを分離し、適切なSecurityManagerをプラグインクラスに適用するために、ClassLoaderセットとProtectionDomainが必要です。

SecurityManagerで問題を解決する方法は次のとおりです。

https://svn.code.sf.net/p/loggifier/code/trunk/de.unkrig.commons.lang/src/de/unkrig/commons/lang/security/Sandbox.Java

package de.unkrig.commons.lang.security;

import Java.security.AccessControlContext;
import Java.security.Permission;
import Java.security.Permissions;
import Java.security.ProtectionDomain;
import Java.util.Collections;
import Java.util.HashMap;
import Java.util.Map;
import Java.util.WeakHashMap;

import de.unkrig.commons.nullanalysis.Nullable;

/**
 * This class establishes a security manager that confines the permissions for code executed through specific classes,
 * which may be specified by class, class name and/or class loader.
 * <p>
 * To 'execute through a class' means that the execution stack includes the class. E.g., if a method of class {@code A}
 * invokes a method of class {@code B}, which then invokes a method of class {@code C}, and all three classes were
 * previously {@link #confine(Class, Permissions) confined}, then for all actions that are executed by class {@code C}
 * the <i>intersection</i> of the three {@link Permissions} apply.
 * <p>
 * Once the permissions for a class, class name or class loader are confined, they cannot be changed; this prevents any
 * attempts (e.g. of the confined class itself) to release the confinement.
 * <p>
 * Code example:
 * <pre>
 *  Runnable unprivileged = new Runnable() {
 *      public void run() {
 *          System.getProperty("user.dir");
 *      }
 *  };
 *
 *  // Run without confinement.
 *  unprivileged.run(); // Works fine.
 *
 *  // Set the most strict permissions.
 *  Sandbox.confine(unprivileged.getClass(), new Permissions());
 *  unprivileged.run(); // Throws a SecurityException.
 *
 *  // Attempt to change the permissions.
 *  {
 *      Permissions permissions = new Permissions();
 *      permissions.add(new AllPermission());
 *      Sandbox.confine(unprivileged.getClass(), permissions); // Throws a SecurityException.
 *  }
 *  unprivileged.run();
 * </pre>
 */
public final
class Sandbox {

    private Sandbox() {}

    private static final Map<Class<?>, AccessControlContext>
    CHECKED_CLASSES = Collections.synchronizedMap(new WeakHashMap<Class<?>, AccessControlContext>());

    private static final Map<String, AccessControlContext>
    CHECKED_CLASS_NAMES = Collections.synchronizedMap(new HashMap<String, AccessControlContext>());

    private static final Map<ClassLoader, AccessControlContext>
    CHECKED_CLASS_LOADERS = Collections.synchronizedMap(new WeakHashMap<ClassLoader, AccessControlContext>());

    static {

        // Install our custom security manager.
        if (System.getSecurityManager() != null) {
            throw new ExceptionInInitializerError("There's already a security manager set");
        }
        System.setSecurityManager(new SecurityManager() {

            @Override public void
            checkPermission(@Nullable Permission perm) {
                assert perm != null;

                for (Class<?> clasS : this.getClassContext()) {

                    // Check if an ACC was set for the class.
                    {
                        AccessControlContext acc = Sandbox.CHECKED_CLASSES.get(clasS);
                        if (acc != null) acc.checkPermission(perm);
                    }

                    // Check if an ACC was set for the class name.
                    {
                        AccessControlContext acc = Sandbox.CHECKED_CLASS_NAMES.get(clasS.getName());
                        if (acc != null) acc.checkPermission(perm);
                    }

                    // Check if an ACC was set for the class loader.
                    {
                        AccessControlContext acc = Sandbox.CHECKED_CLASS_LOADERS.get(clasS.getClassLoader());
                        if (acc != null) acc.checkPermission(perm);
                    }
                }
            }
        });
    }

    // --------------------------

    /**
     * All future actions that are executed through the given {@code clasS} will be checked against the given {@code
     * accessControlContext}.
     *
     * @throws SecurityException Permissions are already confined for the {@code clasS}
     */
    public static void
    confine(Class<?> clasS, AccessControlContext accessControlContext) {

        if (Sandbox.CHECKED_CLASSES.containsKey(clasS)) {
            throw new SecurityException("Attempt to change the access control context for '" + clasS + "'");
        }

        Sandbox.CHECKED_CLASSES.put(clasS, accessControlContext);
    }

    /**
     * All future actions that are executed through the given {@code clasS} will be checked against the given {@code
     * protectionDomain}.
     *
     * @throws SecurityException Permissions are already confined for the {@code clasS}
     */
    public static void
    confine(Class<?> clasS, ProtectionDomain protectionDomain) {
        Sandbox.confine(
            clasS,
            new AccessControlContext(new ProtectionDomain[] { protectionDomain })
        );
    }

    /**
     * All future actions that are executed through the given {@code clasS} will be checked against the given {@code
     * permissions}.
     *
     * @throws SecurityException Permissions are already confined for the {@code clasS}
     */
    public static void
    confine(Class<?> clasS, Permissions permissions) {
        Sandbox.confine(clasS, new ProtectionDomain(null, permissions));
    }

    // Code for 'CHECKED_CLASS_NAMES' and 'CHECKED_CLASS_LOADERS' omitted here.

}
3
Arno Unkrig

この質問についての議論は、自分のサンドボックスプロジェクトを立ち上げるきっかけになりました。

https://github.com/Black-Mantha/sandbox

その中で私は重要なセキュリティの質問に出くわしました:「サンドボックスの外のコードがSecurityManagerをバイパスすることをどのように許可しますか?」

私はサンドボックスのコードを独自のThreadGroupに入れ、そのグループの外にいるときは常に許可を与えます。とにかくそのグループで特権コードを実行する必要がある場合(たとえば、コールバックで)、ThreadLocalを使用して、そのスレッドにのみフラグを設定できます。クラスローダーは、サンドボックスがThreadLocalにアクセスするのを防ぎます。また、これを行う場合、ファイナライザはThreadGroup外の専用スレッドで実行されるため、ファイナライザの使用を禁止する必要があります。

0
Black Mantha