Autor Zpráva
Chamurappi
Profil
Moc Javě nerozumím, ale donesly se ke mně nářky uživatelů, kterým přestaly fungovat Java applety na jednom z webů, které mám tu čest spoluvytvářet.

Oracle říká: New security requirements for RIAs in 7u51 (January 2014)

Pochopil jsem dobře, že se všechny existující applety musejí upravit a podepsat věrohodnou autoritou (= zakoupit certifikát)? Nebo existuje nějaké snadné řešení, které přehlížím?
V mém případě pocházejí problematické applety cca z třetihor, takže upravování jejich vnitřností patrně nepřichází v úvahu. Pravidelná investice do certifikátů také nezní zrovna lákavě.
Davex
Profil
Jestli myslíš to zabezpečení, co způsobuje chybu „This application will be blocked in a future Java security update because the JAR file manifest does not contain the Permissions attribute.“, tak s tou jsme se v práci srazili před měsícem. Nepřišlo se na to, jak by se to dalo v Javě globálně vypnout. Částečně se to obešlo přidáním adres do Exception Site List (nefungují zástupné znaky) v nastavení Javy, ale vůbec to nefunguje spolehlivě, všem a všude.
Amunak
Profil
Chamurappi:
Mluví sice o tom, že ty applety musí být podepsané, ale už zřejmě neřeší, jestli musí jít o nějak ověřený podpis. Čekal bych, že nedůvěryhodný podpis zobrazí nějaké varování, podobně jako prohlížeče hlásí varování při nedůvěryhodném SSL spojení, kdežto platný elektronický podpis uživatele ujistí, že jde o aplikaci, kterou skutečně vytvořil ten, kdo jí podepsal. A applety bez podpisu nebudou fungovat vůbec.
Chamurappi
Profil
Reaguji na Davexe:
V mém případě je applet ve veřejné části webu a cílová skupina pravděpodobně není na úpravu Exception Site Listu dostatečně technicky zdatná.

This application will be blocked in a future Java security update
Tohle už nejspíš je ten budoucí update. Nezobrazuje se varování, ale rovnou „Your security settings have blocked an untrusted application from running“ a nazdar…


Reaguji na Amunaka:
Proklikal jsem se na stránku Code signing: Understanding who and when, kde se píše:
„All users (system administrators and developers) that intend to sign code must purchase a signing certificate from a known authority. Certificate authorities help manage trust across millions of systems and prevent identity spoofing, or cases where someone else generates their own certificate pretending to be you. Signing certificates are available from companies like GoDaddy, Symantec, or others.“

Čekal bych, že nedůvěryhodný podpis zobrazí nějaké varování, podobně jako prohlížeče hlásí varování při nedůvěryhodném SSL spojení
Varování o nedůvěryhodném SSL spojení je skoro ta nejprofláknutější (= nejpřehlíženější) bezpečnostní hláška, jiné druhy upozornění ale dokážou značné množství uživatelů odradit. Takže by to též nebylo ideální. Nějaké takové varování se mi ukazuje, když si přidám doménu na zmíněný Exception Site List.
Amunak
Profil
Chamurappi:
jiné druhy upozornění ale dokážou značné množství uživatelů odradit.
To je pravda, já ani nevím, jestli to jde nějak snadno odkliknout. Ale zase u tohoto můžeš, narozdíl od SSL, uživatele předem varovat proč to na něj vyhodí ošklivou chybu, a vysvětlit, že to moc jinak nejde.
Davex
Profil
Chamurappi:
V mém případě je applet ve veřejné části webu a cílová skupina pravděpodobně není na úpravu Exception Site Listu dostatečně technicky zdatná.
Ono přidávat 200 adres do Exception Listu taky není žádná zábava, takže Java 1.6.něco to zachraňuje.

Tohle už nejspíš je ten budoucí update.
Pravda, s touto novou Javou už máme stejnou chybu.

Vaše odpověď

Mohlo by se hodit

Příspěvky nesouvisející s webem budou odstraněny.

Odkud se sem odkazuje


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: