Sviluppatori - Contenuto Java nel browser - Modifiche al file manifest di sicurezza

Questo articolo è relativo a:
  • Piattaforme: Tutte le piattaforme
  • Versioni Java: 7.0, 8.0

Sviluppatori: A partire da 7u51, (Gennaio 2014), è necessario aggiornare le applicazioni Rich Internet Applications (RIA, conosciute anche come applet e applicazioni Web Start). Gli aggiornamenti sono necessari sul package e la distribuzione; non sono necessarie modifiche al codice API. L'impulso per queste modifiche è correlato a una potenziale riallocazione di applicazioni con sandbox mentre l'allocazione di autorizzazioni all'interno di un file Java firmato impedisce la modifica del livello di autorizzazione specificato.
Le applicazioni RIA devono contenere due cose:

  1. Firme con codice da un'autorità sicura. Tutto il codice per le applet e le applicazioni Web Start deve essere firmato indipendentemente dagli attributi Autorizzazioni.
  2. Attributi manifest
    1. Autorizzazioni – introdotte in 7u25 e richieste a partire da 7u51. Indica se l'applicazione RIA deve essere eseguita all'interno del sandbox o se richiede autorizzazioni complete.
    2. Codebase – introdotto in 7u25 e facoltativo/consigliato a partire da 7u51. Punta ad una posizione conosciuta del codice hosted.

Vedere il blog Java Platform Group Product Management per ulteriori informazioni.

 Java 7 Update 45 (7u45), ottobre 2013: per le chiamate LiveConnect verrà richiesta l'autorizzazione prima dell'interazione con applicazioni Internet avanzate.
  • Agli utenti verrà richiesto di concedere l'autorizzazione per le pagine Web (domini) che interagiscono con le applicazioni Java tramite JavaScript LiveConnect.
  • Gli sviluppatori dovrebbero aggiungere l'attributo Manifest Caller-Allowable-Codebase per identificare le posizioni da cui il codice JavaScript può richiamare i metodi nell'applicazione.
 Java 7 Update 40 (7u40), settembre 2013: gli amministratore di sistema possono inserire le applicazioni nella lista di inclusione dei relativi desktop gestiti.
  • Gli amministratori di sistema possono inserire nella lista di inclusione applicazioni Java specifiche in modo che vengano eseguite sui computer degli utenti utilizzando il set di regole di distribuzione. Gli amministratori di sistema possono consultare la documentazione del set di regole di distribuzione o iniziare con gli esempi del set di regole di distribuzione.
Java 7 Update 21 (7u21), aprile 2013: per tutto il contenuto Java a cui si accede tramite browser (incluse le applet e le applicazioni) verrà richiesta l'autorizzazione prima dell'avvio dell'esecuzione.
  • Il messaggio contenuto nel prompt sarà diverso a seconda dei fattori di rischio relativi all'esecuzione di un'applicazione. Per rivedere i messaggi di sicurezza comuni, consultate le domande frequenti sulle finestre di dialogo di sicurezza.
  • Gli scenari con rischio basso presentano una messaggistica più semplice e includono una casella di controllo per impedire la visualizzazione di questi messaggi al successivo accesso all'applicazione.
  • Per gli scenari ad alto rischio, ad esempio l'esecuzione di un'applicazione senza alcun certificato digitale di identificazione, viene richiesta ulteriore interazione.
Gli sviluppatori e gli amministratori di sistema possono fare riferimento a ulteriori informazioni tecniche sulle modifiche del codice firmato.

Quali sono gli effetti di queste modifiche?

L'insieme di queste modifiche consente agli utenti di verificare il publisher del software e confermare l'interazione con l'applicazione. L'uso di certificati per la firma del codice consente a Java di presentare informazioni esatte sul fornitore dell'applicazione per consentire all'utente di decidere se eseguirla.

Le modifiche interromperanno le applicazioni basate su Java eseguite normalmente?

Le modifiche descritte non dovrebbero interrompere le applicazioni eseguite normalmente. Tuttavia, è possibile che venga richiesta un'autorizzazione esplicita per consentire l'esecuzione dell'applicazione facendo clic su un pulsante 'Esegui'. In questo modo si potrà impedire l'esecuzione automatica di applicazioni ad alto rischio sul computer.

Gli amministratori di sistema preoccupati della compatibilità possono utilizzare la funzione Set di regole di distribuzione per inserire nella lista di inclusione specifiche applicazioni Internet avanzate su più desktop gestiti.

Perché non viene visualizzata l'opzione per selezionare Non mostrare più questo messaggio per questa app. nella finestra di dialogo di sicurezza per un'applicazione non firmata?

A partire da Java 7 Update 40, l'opzione per selezionare Non mostrare più questo messaggio per questa app. non è più disponibile. A differenza delle versioni precedenti, l'utente non può eliminare la finestra di dialogo della sicurezza per un'applicazione non firmata e dovrà selezionare ogni volta l'opzione Accetto il rischio e desidero eseguire questa applicazione per eseguire l'applicazione non firmata.

Che cos'è un'autorità di certificazione?

Per autorità di certificazione si intende una terza parte accettata come sicura, in genere una società commerciale, che emette certificati digitali. I certificati vengono emessi per organizzazioni o singole persone dopo la verifica dell'identità. Il certificato digitale viene aggiunto alle applicazioni del computer per confermare che l'applicazione è stata effettivamente fornita dal proprietario del certificato. Per ulteriori informazioni, vedere http://wikipedia.org/wiki/Certificate_authority.

Perché sono importanti queste modifiche?

Java nel browser è un obiettivo importante per gli utenti non autorizzati. Nel 2012 con Java 7u10 sono state introdotte funzioni di sicurezza che richiedono di approvare l'esecuzione delle applicazioni Java in modo esplicito. È anche possibile configurare Java in modo da bloccare l'esecuzione di applicazioni non sicure. Le applicazioni sicure sono quelle che includono un certificato digitale valido emesso da un'autorità di certificazione e quindi forniscono le informazioni sull'identità del fornitore dell'applicazione. I certificati digitali consentono a Java di applicare la protezione e la sicurezza delle applicazioni create da tali fornitori.

Quali ulteriori misure posso prendere per garantire la sicurezza dei sistemi che eseguono applicazioni Java nel browser?

Gli utenti, gli amministratori di sistema e gli sviluppatori Java sono esortati a mantenere i sistemi aggiornati con le versioni più recenti. Il meccanismo di aggiornamento automatico Java è stato progettato per consentire agli utenti Java di tenersi aggiornati con le correzioni di sicurezza più recenti.

Se l'aggiornamento automatico è stato disabilitato, si consiglia di riabilitarlo per essere sicuri di disporre dell'installazione Java più recente e sicura nel sistema in uso. Per ulteriori informazioni, vedere le Domande frequenti relative all'aggiornamento automatico Java 7.

Utenti finali Java - Guida (Java.com)
Impostazioni del livello di sicurezza nel Pannello di controllo Java
Sviluppatori Java SE Security - Secure Coding Guidelines for the Java Programming Language
JAR File Manifest Attributes for Security
Java SE Security Documentation
Informazioni tecniche sulla modifica del codice firmato
Enterprise Il Supporto Oracle Java SE fornisce assistenza via posta elettronica e telefono 24 ore su 24 e 7 giorni su 7 per le applicazioni di importanza critica per determinate attività aziendali.
I prodotti Oracle Java SE Advanced e Oracle Java SE Suite forniscono funzioni a livello enterprise che consentono di limitare i costi di distribuzione, monitoraggio e gestione degli ambienti di IT basati su Java.
Amministratore del sistema Deployment Rule Sets for whitelisting applications
Deployment Best Practices
Java Rich Internet Applications Guide
Esercitazione: Security Features in Java SE