XStream - Erfahrungen mit eingeschraenkten Umgebungen?

[Jessica_F]

Hallo.

Hat jemand hier im Forum XStream jemals zusammen mit unsignierten Applets benutzt? In der FAQ http://xstream.codehaus.org/faq.html werden irgendwie nicht so ganz klare Aussagen gemacht ob es funktioniert oder nicht.

Die Umgebung in der ich XStream nutzen will ist sicherheitstechnisch praktisch identisch mit einem unsignierten Applet. Anstatt einen kleinen Testfall fuer ein Minimal-Beispiel zu schreiben waere mir wohler wenn ich Feedback von jemandem bekomme der eine echte Anwendung in Form eines unsignierten Applets zusammen mit XStream erstellt hat. Nicht das mein Minimal-Beispiel funktioniert und dann spaeter unter Realbedingungen scheitert.

Danke, Jessica.

P.S.: Es gibt einen Pure-Java mode fuer XStream. Vielleicht muss man den einschalten fuer unsignierte Applets um Erfolg zu haben?

 

[Murray]

P.S.: Es gibt einen Pure-Java mode fuer XStream. Vielleicht muss man den einschalten fuer unsignierte Applets um Erfolg zu haben?

Vermutlich. Ansonsten werden nämlich Dinge versucht, die ein SecurityManager nicht unbedingt zulassen wird.

 

[Jessica_F]

P.S.: Es gibt einen Pure-Java mode fuer XStream. Vielleicht muss man den einschalten fuer unsignierte Applets um Erfolg zu haben?

Vermutlich. Ansonsten werden nämlich Dinge versucht, die ein SecurityManager nicht unbedingt zulassen wird.

Hast du XStream jemals benutzt? Im Zusammenhang mit signierten Applets benutzt? Oder ist das wirklich reine Spekulation?

J

 

[Murray]

Ja, ich habe XStream benutzt.
Nein, ich habe XStream noch nicht in Applets benutzt.
Aber: ja, ich weiss, wozu der PureJava-Modus dient, und was XStream ansonsten macht.
Und insofern würde ich die Aussage in XStream-Doku durchaus ernstnehmen:

When should I use XStream not in enhanced mode?

Running XStream in a secured environment can prevent XStream from running in enhanced mode. This is especially true when running XStream in an applet. You may also try to use the JavaBeanConverter as alternative to the ReflectionConverter running in enhanced or pure Java mode.

Also, Du hast recht: alles wilde Spekulation. Probier es aus, und Du weißt Bescheid.

 

[Jessica_F]

Ja, ich habe XStream benutzt.
Nein, ich habe XStream noch nicht in Applets benutzt.
Aber: ja, ich weiss, wozu der PureJava-Modus dient, und was XStream ansonsten macht.
Und insofern würde ich die Aussage in XStream-Doku durchaus ernstnehmen:

When should I use XStream not in enhanced mode?

Running XStream in a secured environment can prevent XStream from running in enhanced mode. This is especially true when running XStream in an applet. You may also try to use the JavaBeanConverter as alternative to the ReflectionConverter running in enhanced or pure Java mode.

Also, Du hast recht: alles wilde Spekulation. Probier es aus, und Du weißt Bescheid.

Das ist ja mein Problem. Es wird nicht klipp und klar gesagt: Wenn das Applet in einer Sandbox steckt kannst Du XStream vergessen sondern es wird gesagt 'can prevent'. Ausserdem wird so getan als ginge es doch mittels Java Pure Mode oder JavaBeanConverter, allerdings wird auch nicht gesagt, wenn du das nutzt macht XStream keine Probleme.

Der Punkt ist doch, XStream koennte mir irgendwann um die Ohren fliegen wenn ich irgendwann schon mitten im Projekt bin und dann nicht so mir nichts dir nichts den Serializer wechseln kann. Ausprobieren reicht also leider nicht aus, weil ich danach auch nicht Bescheid weiss, sondern weiss das mein Minimal-Beispiel tut.

XStream ist schon ein bissl esoterisch (Reflektion ist da noch die harmloseste Methode die genutzt wird. Ausserdem custom Classloader und und und) und nur erfahrene Benutzer oder die Entwickler koennten sagen ob es wirklich in allen Szenarien mit Applets funktioniert.

J.

 

[Murray]

nur erfahrene Benutzer oder die Entwickler koennten sagen ob es wirklich in allen Szenarien mit Applets funktioniert.

In allen Szenarien bedeutet ja: mit allen Browsern und mit allen VMs, vielleicht sogar noch auf allen Betriebssystemen. Das wird wohl niemand sagen können (zumal das ja immer nur eine Momentaufnahme ist; mit der nächsten VM könnte es ja schon anders sein).

 

[Jessica_F]

nur erfahrene Benutzer oder die Entwickler koennten sagen ob es wirklich in allen Szenarien mit Applets funktioniert.

In allen Szenarien bedeutet ja: mit allen Browsern und mit allen VMs, vielleicht sogar noch auf allen Betriebssystemen. Das wird wohl niemand sagen können (zumal das ja immer nur eine Momentaufnahme ist; mit der nächsten VM könnte es ja schon anders sein).

Ich habe jetzt alles durchgetested in allen Kombinationen und es gibt keinen Weg in unsignierten Applets XStream zu nutzen. Genau diese Aussage sollte auch auf der FAQ Seite stehen und nicht dieser doppeldeutige Mist. Haette mir 5 Stunden Arbeit gespart. Unglaublich.