Gestor de Seguridad en Java

Questions and Answers

¿Cuál de las siguientes acciones no es posible con los permisos en Java?

• Accept
• Listen
• Execute (correct)
• Connect

¿Qué comando se utiliza para firmar un archivo JAR en Java?

• javac
• java
• jarsigner (correct)
• jar

¿Qué opción se debe incluir para especificar la contraseña del almacén de claves al usar jarsigner?

• -keypass
• -storepass (correct)
• -certpass
• -password

¿Cuál es el propósito principal de la herramienta jarsigner?

Firmar y verificar archivos JAR (B)

Al usar jarsigner, ¿qué representa el término alias?

El certificado utilizado para firmar (B)

¿Cuál es la sintaxis correcta para verificar un archivo JAR llamado 'mi-aplicacion.jar' con jarsigner?

jarsigner -verify mi-aplicacion.jar (C)

¿Cuál de las siguientes opciones se utiliza para especificar el algoritmo de firma en jarsigner?

-sigalg (A)

Al firmar un archivo JAR, ¿qué opción proporciona la contraseña para acceder a la clave privada?

-keypass (D)

¿Cuál es una de las recomendaciones para el uso de seguridad en Java a partir de la versión 17?

Implementar controles de permisos específicos. (D)

Al ejecutar un comando que incluye -Djava.security.policy=mipolitica.policy, ¿qué ocurre?

Se supervisan todas las acciones sensibles de la aplicación. (A)

¿Qué tipo de excepción se lanzará si la aplicación intenta realizar una acción prohibida según la política de seguridad?

AccessControlException (A)

En el contexto de la política de seguridad en Java, ¿qué significa que las operaciones estarán 'controladas'?

Las operaciones se realizarán con ciertas restricciones de seguridad. (A)

¿Qué tipo de permiso se otorgaría para permitir la lectura de archivos de cualquier tipo en el sistema?

read Permission (D)

¿Qué permite la política 'Permission java.net.SocketPermission "*:1024-", "connect, resolve";'?

Conectar a cualquier host y puerto a partir del 1024. (B)

¿Cuál es la función básica de un socket en la programación de redes?

Establecer un punto final de comunicación entre procesos. (C)

¿Qué se debe proporcionar como argumento para usar un archivo de política personalizado?

La ruta válida del archivo de política. (B)

¿Cuál es la función principal del gestor de seguridad en Java?

Establecer políticas para restringir acciones específicas en el programa. (C)

¿Qué parámetro se utiliza para especificar un gestor de seguridad personalizado en Java?

-Djava.security.manager (D)

¿Cuál de las siguientes afirmaciones sobre la memoria en Java es correcta?

El tamaño máximo de memoria para el heap se establece con -Xmx. (C)

¿Qué se especifica con el parámetro [otrasOpciones] en la ejecución de una aplicación Java?

Parámetros adicionales que afectan la ejecución de la JVM. (D)

¿Cuál es el propósito de la opción -classpath en la ejecución de una aplicación Java?

Establece la ubicación de las clases y recursos requeridos por la aplicación. (C)

¿Qué sucede si no se especifica un gestor de seguridad personalizado al ejecutar una aplicación Java?

Se usará el gestor de seguridad predeterminado que puede permitir más acciones. (D)

¿Cuál de las siguientes opciones describe una función de un gestor de seguridad en Java?

Impedir conexiones de red a dominios específicos según políticas definidas. (A)

¿Qué representa el nombre de la clase especificado al usar -Djava.security.manager?

El gestor de seguridad que se implementa. (A)

Flashcards

Ejecutar aplicación Java con gestor de seguridad

Invocar la Máquina Virtual de Java (JVM) con una clase personalizada como gestor de seguridad para controlar las acciones de la aplicación.

Argumento -D

Define una propiedad del sistema en tiempo de ejecución de Java.

java.security.manager

Propiedad estándar para habilitar y definir un gestor de seguridad en la JVM.

NombreGestor

Nombre de la clase que implementa el gestor de seguridad personalizado.

SecurityManager predeterminado

El gestor de seguridad que se utiliza si no se especifica una clase personalizada.

Opciones adicionales

Argumentos para la JVM, como el tamaño de la memoria o el classpath.

Nombre de la clase principal

Clase o archivo JAR que ejecutará la aplicación (ej: Main, miAplicacion.jar).

Función del SecurityManager

Establece políticas para restringir acciones en la aplicación (ej: acceso a archivos, conexiones de red).

SecurityManager (Java)

Componente de Java que controla el acceso a recursos sensibles de la aplicación, como archivos o redes.

java.security.policy

Archivo de texto que define las reglas de acceso y permisos para una aplicación Java.

java -Djava.security.manager

Argumentos de línea de comandos para activar el SecurityManager en una aplicación Java.

java.security.policy = archivo.policy

Argumentos de línea de comandos para especificar el archivo .policy que define los permisos de la aplicación Java, a usar en vez del global.

AccessControlException

Excepción en Java lanzada cuando una aplicación intenta realizar una acción no permitida por el SecurityManager.

FilePermission

Permiso para leer, escribir o realizar otras operaciones en un archivo.

SocketPermission

Permiso para conectarse y realizar acciones en sockets de red.

Socket

Punto final en una comunicación de red entre dos procesos.

Firma de archivos JAR

Proceso para asegurar la autenticidad e integridad de archivos JAR.

Herramienta jarsigner

Utilidad de Java para firmar o verificar archivos JAR.

Archivo JAR

Archivo de empaquetado que contiene clases de Java y recursos.

Almacén de claves (keystore)

Archivo que almacena certificados digitales y claves privadas.

Alias del certificado

Nombre identificador de un certificado en el almacén de claves.

Verificar la firma JAR

Comprobar si el archivo JAR está firmado y la firma es válida.

Opción -keystore

Especifica el archivo del almacén de claves a usar.

Opción -storepass

Contraseña para acceder al almacén de claves.

Study Notes

Java Security Manager

• java -Djava.security.manager=NombreGestor [otrasOpciones] nombreAplicación is a command to execute a Java application with a custom security manager.

• java: The command to run the Java Virtual Machine (JVM) and launch Java applications.

• -Djava.security.manager=NombreGestor: Specifies a system property for the JVM to configure the security manager.

  • -D: Specifies a Java system property at runtime.
  • java.security.manager: A standard property enabling and defining a security manager for the JVM. This manager monitors application actions (file access, network connections, etc.).
  • NombreGestor: The name of the custom security manager class (e.g., com.miempresa.MiSecurityManager). If omitted, the default security manager SecurityManager is used.

• [otrasOpciones]: Additional options passed to the JVM, like memory limits or classpaths. Examples include:

  • -Xmx1024m: Sets the maximum heap size.
  • -classpath: Specifies the classpath to locate classes and resources.

• nombreAplicación: The name of the main class or JAR file to be executed.

Security Manager Functionality

• The security manager (SecurityManager) sets policies to control application actions.
• It can restrict access to files, network connections, native code execution, etc.
• This is crucial in environments with untrusted code, like applets or web applications.

Java Security Manager Considerations

• Modern use: Security managers are less frequently used in modern Java versions (17 and above). Alternatives like container controls and explicit permission checks are preferred.
• Security policy file: java.security.policy is a crucial file defining a runtime security policy that further refines authorization and access for applications.
• Security policies can be crucial for applications that interact with untrusted environments or need specific controls on resources or connections.

Description

Este cuestionario explora el uso del Gestor de Seguridad en Java, incluyendo cómo ejecutar aplicaciones con configuraciones personalizadas. Los participantes aprenderán sobre las propiedades del sistema de Java y cómo afectan la ejecución de aplicaciones. Ideal para estudiantes y profesionales que desean profundizar en la seguridad de Java.