Desarrollador - Cambios del manifiesto de seguridad de Java en el explorador

Desarrolladores - Contenido Java en el explorador - Cambios en el manifiesto de seguridad

Este artículo se aplica a:

Plataformas: Todas las plataformas
Versiones de Java: 7.0, 8.0

Desarrolladores: a partir de la versión 7u51 (enero de 2014), las aplicaciones de Internet enriquecidas (RIA, también denominadas applets y aplicaciones Web Start) se deben actualizar. Las actualizaciones necesarias se incluyen en el paquete y distribución; no será necesario realizar cambios de código API. El ímpetu de estos cambios está relacionado con el potencial cambio de propósito de las aplicaciones sandbox en las que el uso de permisos en archivos JAR firmados evita poder realizar modificaciones de su nivel de permiso especificado.
Las aplicaciones RIA deben contener dos elementos:

Firmas de código de una autoridad de confianza. Todo el código de las applets y aplicaciones Web Start debe estar firmado, independientemente de sus atributos de permisos.
Atributos de manifiesto

Permisos: se introdujeron en la versión 7u25 y son necesarios desde la versión 7u51. Indica si la aplicación RIA se debe ejecutar en el sandbox o requiere permisos completos.
Codebase: se introdujo en la versión 7u25 y es opcional (aunque se recomienda contar con él) desde la versión 7u51. Apunta a la ubicación conocida del código alojado.

Consulte el blog sobre gestión de productos de grupo de la plataforma Java para obtener más información.

Java 7 Update 45 (7u45), octubre de 2013: las llamadas de LiveConnect pedirán permiso antes de interactuar con las aplicaciones de Internet enriquecidas

Se pedirá a los usuarios que otorguen permiso para las páginas web (dominios) que interactúen con las aplicaciones Java mediante LiveConnect de JavaScript.
Los desarrolladores deben agregar los atributos de manifiesto Caller-Allowable-Codebase para identificar las ubicaciones desde las que el código de JavaScript puede llamar a los métodos en la aplicación

Java 7 Update 40 (7u40), septiembre de 2013: los administradores del sistema pueden colocar en la lista blanca las aplicaciones en sus escritorios gestionados

Los administradores del sistema pueden colocar en la lista blanca las aplicaciones de Java específicas que se van a ejecutar en las computadoras de los usuarios utilizando juegos de reglas de despliegue. Los administradores del sistema pueden consultar la documentación de los juegos de reglas de despliegue o comenzar con los ejemplos de juegos de reglas de despliegue.

Java 7 Update 21 (7u21), abril de 2013: todo el contenido Java accesible desde el explorador (incluidos applets y aplicaciones) solicitará permiso antes de ejecutarse.

El mensaje en la petición de datos variará en función de los factores de riesgo asociados a la ejecución de una aplicación. Consulte la sección de Preguntas frecuentes sobre los cuadros de diálogos de seguridad para revisar los mensajes de seguridad comunes.
Los casos de riesgo menor presentan mensajes más sencillos e incluyen una casilla de control para que dejen de mostrarse la próxima vez que se acceda a la aplicación.
En los casos de mayor riesgo, como ejecutar una aplicación sin un certificado digital de identificación, será necesaria una mayor interacción.

Los desarrolladores y administradores del sistema pueden consultar información más técnica acerca de los cambios realizados en el código de firma.

¿Qué efectos tendrán estos cambios?

En conjunto, estos cambios permiten a los usuarios verificar el publicador del software y confirmar la interacción con la aplicación. El uso de los certificados de firma de código permite a Java presentar información precisa sobre el distribuidor de la aplicación para ayudar al usuario a decidir si debe ejecutar la aplicación.

¿Bloquearán estos cambios las aplicaciones basadas en Java que normalmente ejecuto?

Los cambios que describimos no deberían bloquear las aplicaciones que normalmente ejecuta. Sin embargo, pueden solicitarle permiso explícito para permitir que la aplicación se ejecute haciendo clic en el botón Ejecutar. De este modo, tiene el control para impedir que aplicaciones de alto riesgo se ejecuten automáticamente en su computadora.

Los administradores del sistema preocupados por la compatibilidad pueden utilizar la opción de juego de reglas de despliegue para colocar en la lista blanca las aplicaciones de Internet enriquecidas en los escritorios gestionados.

¿Por qué no se ve la opción para seleccionar No volver a mostrar esto para esta aplicación en el cuadro de diálogo de seguridad de una aplicación sin firma?

A partir de Java 7 Update 40, la opción para seleccionar No volver a mostrar esto para esta aplicación ya no está disponible. A diferencia de las versiones anteriores, los usuarios no pueden suprimir el cuadro de diálogo de seguridad para una aplicación sin firma y tendrán que seleccionar la opción Acepto los riesgos y deseo ejecutar esta aplicación cada vez que deseen ejecutar la aplicación sin firma.

¿Qué es una autoridad de certificación?

Una autoridad de certificación es un tercero de confianza, por lo general, una empresa comercial que emite certificados digitales. Los certificados se emiten a las organizaciones o a las personas después de verificar su identidad. El certificado digital se agrega a las aplicaciones de la computadora con el fin de validar que la aplicación viene del propietario del certificado. Para obtener más información, consulte http://wikipedia.org/wiki/Certificate_authority.

¿Por qué son importantes para mí estos cambios?

Uno de los principales objetivos de los atacantes es el contenido Java en el explorador. En el año 2012, Java 7u10 introdujo funciones de seguridad que pedían permiso explícitamente al usuario para ejecutar aplicaciones Java. Además, puede configurar Java para bloquear la ejecución de una aplicación si no es fiable. Las aplicaciones fiables son aquellas que incluyen un certificado digital válido emitido por una autoridad de certificación y que, por lo tanto, proporcionan información sobre la identidad del proveedor de la aplicación. Estos certificados permiten a Java reforzar la seguridad de las aplicaciones creadas por estos proveedores.

¿Qué pasos adicionales puedo llevar a cabo para garantizar la seguridad de los sistemas que ejecutan aplicaciones Java en el explorador?

Se recomienda encarecidamente a los usuarios de Java, los administradores del sistema y los desarrolladores que mantengan los sistemas actualizados con las versiones más recientes. El mecanismo de actualización automática de Java se ha diseñado para que los usuarios de Java siempre estén actualizados con las revisiones de seguridad más recientes.

Si anteriormente ha desactivado la actualización automática, vuelva a activarla para asegurarse de que dispone del Java más reciente y seguro en su sistema. Consulte las preguntas frecuentes sobre actualización automática de Java 6 a Java 7 para obtener más información.

Usuarios Finales	Java - Ayuda (Java.com) Configuración de nivel de seguridad en el Panel de Control de Java
Desarrolladores	Java SE Security Secure Coding Guidelines para el lenguaje de programación Java JAR File Manifest Attributes for Security Java SE Security Documentation información técnica sobre los cambios realizados en el código de firma
Empresa	Los Servicios de Soporte Oracle Java SE proporcionan soporte 24x7 por teléfono y correo electrónico para aplicaciones críticas Los productos Oracle Java SE Advanced y Oracle Java SE Suite proporcionan funciones empresariales que minimizan los costos de despliegue, supervisión y mantenimiento de los entornos de TI basados en Java.
Administrador del Sistema	Juegos de reglas de despliegue para colocar en la lista blanca las aplicaciones Recomendaciones de despliegue Guía de Java Plugin para administradores de sistemas Tutorial: Funciones de seguridad en Java SE