Développeur : modifications du manifeste de sécurité Java dans le navigateur

Développeurs : contenu Java dans le navigateur : modifications du manifeste de sécurité

Cet article s'applique aux éléments suivants:

Plate(s)-forme(s): Toutes les plates-formes
Version(s) de Java: 7.0, 8.0

Développeurs : à partir de la version 7u51 (janvier 2014), vos applications Internet riches (RIA pour Rich Internet Application, également connues en tant qu'applets ou qu'applications Web Start) devront être mises à jour. Ces mises à jour obligatoires concernent le packaging et la distribution ; aucune modification de code API ne devrait être requise. Ces modifications sont motivées par la réorientation potentielle des applications sandbox grâce auxquelles le placement des droits d'accès dans un fichier JAR signé empêche la modification de votre niveau de droit d'accès.
Les RIA doivent comporter deux éléments :

Des signatures de code provenant d'une autorité sécurisée. L'ensemble du code pour les applets et les applications Web Start doit être signé, quels que soient ses attributs Droits d'accès.
Des attributs Manifeste

Droits d'accès : introduit à la version 7u51, obligatoire à compter de 7u51. Indique si le RIA doit être exécuté dans le modèle d'environnement restreint ou exige des droits d'accès complets.
Base de code : introduit à la version 7u25, facultatif/encouragé à compter de 7u51. Pointe vers l'emplacement connu du code hébergé.

Pour plus d'informations, reportez-vous à la page Java Platform Group, Product Management blog.

Java 7 Update 45 (7u45), octobre 2013 : les appels LiveConnect demandent une autorisation avant d'interagir avec les applications Internet riches

Les utilisateurs sont invités à donner leur autorisation pour les pages Web (domaines) qui interagissent avec des applications via JavaScript LiveConnect.
Les développeurs doivent ajouter l'attribut manifeste Caller-Allowable-Codebase pour identifier les emplacements à partir desquels le code JavaScript peut appeler des méthodes dans l'application

Java 7 Update 40 (7u40), septembre 2013 : les administrateurs système peuvent mettre des applications sur liste blanche sur leurs bureaux gérés

Les administrateurs système peuvent mettre des applications Java spécifiques sur liste blanche pour les exécuter sur les ordinateurs des utilisateurs à l'aide d'ensembles de règles de déploiement. Les administrateurs système peuvent consulter la documentation relative aux ensembles de règles de déploiement ou commencer avec les exemples de règle d'ensemble de règles de déploiement.

Java 7 Update 21 (7u21), avril 2013 : tout le contenu Java accessible via le navigateur (y compris les applets et les applications) demandera l'autorisation avant de commencer à être exécuté.

Le message contenu dans l'invite variera selon les facteurs de risque induits par l'exécution d'une application. Reportez-vous à la FAQ sur les boîtes de dialogue de sécurité pour consulter les messages de sécurité courants.
Les scénarios pour lesquels le risque est moins élevé présentent des messages plus simples et incluent une case à cocher pour supprimer l'affichage de ces messages lors du prochain accès à l'application.
Les scénarios pour lesquels le risque est plus élevé, par exemple l'exécution d'une application sans certificat numérique pour identification, exigeront plus d'interaction.

Les développeurs et les administrateurs système voudront consulter des informations plus techniques sur les modifications du code signé.

Quels sont les effets de ces modifications ?

Ensemble, ces modifications permettent aux utilisateurs de vérifier l'éditeur du logiciel et de confirmer l'interaction avec l'application. L'utilisation de certificats signés par code permet à Java de présenter des informations précises sur le fournisseur de l'application afin d'aider l'utilisateur à décider s'il doit l'exécuter.

Ces modifications vont-elles interrompre les applications Java que j'exécute habituellement ?

Les modifications que nous décrivons ne doivent pas empêcher les applications que vous exécutez habituellement de fonctionner. Toutefois, elles peuvent vous inviter à accorder une autorisation explicite pour l'exécution de l'application en cliquant sur un bouton Exécuter. Cela vous donne le pouvoir d'empêcher l'exécution automatique des applications à haut risque sur votre ordinateur.

Les administrateurs système soucieux de la compatibilité peuvent utiliser la fonctionnalité d'ensemble de règles de déploiement pour mettre sur liste blanche des applications Internet riches spécifiques sur les bureaux gérés.

Pourquoi l'option Ne plus afficher ce message pour cette application n'apparaît-elle pas dans la boîte de dialogue de sécurité d'une application non signée ?

A partir de Java 7u40, l'option Ne plus afficher ce message pour cette application n'est plus disponible. Contrairement aux versions précédentes, l'utilisateur ne peut pas ignorer la boîte de dialogue de sécurité qui apparaît pour une application non signée et il doit sélectionner l'option J'accepte le risque et je souhaite exécuter l'application chaque fois qu'il exécute cette application.

Qu'est-ce qu'une autorité de certification ?

Une autorité de certification est un tiers sécurisé, généralement une entreprise commerciale, publiant des certificats numériques. Les certificats sont émis pour les organisations ou les personnes après vérification de leur identité. Le certificat numérique est ajouté aux applications informatiques pour valider le fait que l'application provient du propriétaire du certificat. Pour plus d'informations, consultez la page http://wikipedia.org/wiki/Certificate_authority.

Pourquoi ces modifications sont-elles importantes pour moi ?

Dans un navigateur, Java est une cible privilégiée pour les individus malveillants. En 2012, Java 7u10 a introduit des fonctions de sécurité exigeant que vous autorisiez explicitement l'exécution des applications Java. Vous pouvez également configurer Java pour bloquer toute application dont l'exécution n'est pas approuvée. Les applications sécurisées sont celles qui incluent un certificat numérique valide émis par une autorité de certification et fournissent donc des informations sur l'identité du fournisseur d'application. Ces certificats autorisent Java à faire respecter la sécurité des applications créées par ces fournisseurs.

Quelles sont les étapes supplémentaires pour garantir la sécurité des systèmes exécutant des applications Java dans leur navigateur ?

Les utilisateurs de Java, les administrateurs système et les développeurs sont fortement encouragés à maintenir leur système à jour avec les dernières versions. Le mécanisme de mise à jour automatique de Java est conçu pour permettre aux utilisateurs d'être à jour avec les dernières corrections de sécurité.

Si vous avez désactivé la mise à jour automatique, réactivez-la pour vous assurer que vous disposez de l'installation Java la plus récente et la plus sécurisée sur votre système. Pour plus d'informations, reportez-vous à la FAQ sur la mise à jour automatique de Java 6 vers Java 7.

Utilisateurs finals	Java - Aide (Java.com) Paramètres de niveau de sécurité dans le panneau de configuration Java
Développeurs	Instructions relatives au code sécurisé pour la sécurité Java SE pour le langage de programmation Java Attributs manifestes de fichier JAR pour la sécurité Documentation de sécurité Java SE 7 Informations techniques sur la modification du code signé
Enterprise	Le support Oracle Java SE fournit une assistance par courriel et par téléphone 24 h sur 24 et 7 j sur 7 pour les applications essentielles Les produits Oracle Java SE Advanced et Oracle Java SE Suite offrent aux entreprises des fonctionnalités permettant de minimiser les coûts de déploiement, de surveillance et de maintenance des environnements informatiques basés sur Java.
Administrateur système	Ensembles de règles de déploiement pour la mise sur liste blanche des applications Meilleures pratiques de déploiement Guide du plug-in Java pour les administrateurs système Tutoriel : Fonctionnalités de sécurité dans Java SE