개발자 - 브라우저의 Java 콘텐츠 — 보안 Manifest 변경 사항

Dit artikel is van toepassing op:
  • Platform(s): Alle platforms
  • Java-versie(s): 7.0, 8.0

개발자: 7u51(2014년 1월)부터 Rich Internet Application(RIA, 애플릿과 웹 시작 응용 프로그램이라고도 함)을 업데이트해야 합니다. 필요한 업데이트는 패키지로 배포되며, 어떤 API 코드 변경도 필요하지 않아야 합니다. 이러한 변화의 원동력은 Sandbox 응용 프로그램의 잠재적 목표 재설정에 있으며, 이를 통해 서명된 JAR 안에 권한 설정을 배치할 때 지정된 권한 설정 레벨이 수정되지 않도록 합니다.
RIA는 다음 두 가지를 포함해야 합니다.

  1. 신뢰할 수 있는 기관의 코드 서명. 애플릿과 웹 시작 응용 프로그램의 모든 코드는 권한 설정 속성에 관계없이 서명되어야 합니다.
  2. Manifest 속성
    1. 권한 설정 – 7u25에 도입되었고 7u51부터 필수 사항입니다. RIA가 Sandbox 내에서 실행되어야 하는지 또는 전체 권한 설정이 필요한지 지정합니다.
    2. 코드베이스 – 7u25에 도입되었고 7u51부터 권장 선택 사항입니다. 호스트된 코드의 알려진 위치를 가리킵니다.

자세한 내용은 Java 플랫폼 그룹 제품 관리 블로그를 참조하십시오.

 Java 7 Update 45(7u45), 2013년 10월: 리치 인터넷 응용 프로그램(Rich Internet Applications)과 상호 작용하기 전에 LiveConnect 호출 시 권한 설정을 묻습니다.
  • JavaScript LiveConnect를 통해 Java 응용 프로그램과 상호 작용하는 웹 페이지(도메인)에 대한 권한 설정을 부여할지 묻는 프롬프트가 사용자에게 표시됩니다.
  • 개발자들은 Manifest 속성 Caller-Allowable-Codebase를 추가하여 응용 프로그램에서 JavaScript 코드로 메소드를 호출할 수 있는 위치를 식별할 수 있습니다.
 Java 7 Update 40(7u40), 2013년 9월: 시스템 관리자가 관리 데스크톱 내에서 응용 프로그램을 허용 목록에 추가할 수 있습니다.
  • 시스템 관리자가 개발 규칙 세트를 사용하여 사용자의 컴퓨터에서 실행할 특정 Java 응용 프로그램을 허용 목록에 추가할 수 있습니다. 시스템 관리자의 경우 배치 규칙 집합 설명서를 참조하거나 배치 규칙 집합 예제로 시작하십시오.
Java 7 Update 21(7u21), 2013년 4월: 브라우저를 통해 액세스된 모든 Java 콘텐츠(애플릿 및 응용 프로그램 포함)는 실행을 시작하기 전에 권한 설정을 묻습니다.
  • 프롬프트에 포함되는 메시지는 응용 프로그램 실행과 관련된 위험 요소에 따라 다릅니다. 일반적인 보안 메시지를 검토하려면 보안 대화상자 FAQ를 참조하십시오.
  • 보다 낮은 위험의 시나리오에서는 단순한 메시지가 표시되며 다음 번에 응용 프로그램에 액세스할 때 이러한 메시지가 표시되지 않도록 하는 체크 박스가 포함됩니다.
  • 보다 높은 위험의 시나리오(예: 디지털 인증서를 식별하지 않고 응용 프로그램 실행)에서는 추가 상호 작용이 필요합니다.
개발자 및 시스템 관리자의 경우 서명된 코드 변경 사항에 대한 추가 기술 정보를 검토할 수 있습니다.

이러한 변경 사항이 미치는 영향

이러한 변경 사항을 모두 조합하면 사용자가 소프트웨어 게시자를 확인하고 응용 프로그램과의 상호 작용을 확인할 수 있습니다. 코드 서명 인증서 사용을 통해 Java가 응용 프로그램 공급업체에 대한 정확한 정보를 제공하므로 사용자가 응용 프로그램 실행 여부를 결정하는 데 도움이 됩니다.

이러한 변경 사항으로 인해 일반적으로 실행하는 Java 기반 응용 프로그램을 실행하지 못합니까?

기술된 변경 사항으로 인해 일반적으로 실행하는 응용 프로그램을 실행하지 못하게 되는 것은 아닙니다. 단, '실행' 단추를 눌러 응용 프로그램의 실행을 허용하려는 경우 명시적 권한 설정을 제공해야 할 수도 있습니다. 그러면 컴퓨터에서 높은 위험의 응용 프로그램이 자동으로 실행되지 않도록 방지할 수 있는 제어 권한이 부여됩니다.

호환성을 우려하는 시스템 관리자의 경우 배치 규칙 집합 기능을 사용하여 관리 데스크톱에서 특정 리치 인터넷 응용 프로그램(Rich Internet Applications)을 허용 목록에 추가할 수 있습니다.

보안 대화상자에서 서명되지 않은 응용 프로그램에 대해 다시 표시 안함을 선택하는 옵션이 표시되지 않는 이유는 무엇입니까?

Java 7 Update 40부터 이 응용 프로그램에 대해 다시 표시 안함을 선택하는 옵션은 더 이상 사용할 수 없습니다. 이전 버전과 달리 서명되지 않은 응용 프로그램에 대해서는 보안 대화상자를 숨길 수 없으며, 서명되지 않은 응용 프로그램을 실행할 때마다 위험을 감수하고 이 응용 프로그램을 실행하겠습니다. 옵션을 선택해야 합니다.

인증 기관이란 무엇입니까?

인증 기관은 디지털 인증서를 발급하는 신뢰할 수 있는 제3자로서, 일반적으로 민간 기업입니다. 인증서는 신원 확인 후 조직이나 개인에게 발급됩니다. 디지털 인증서는 컴퓨터 응용 프로그램에 추가되어 응용 프로그램이 인증서 소유자의 것임을 검증합니다. 자세한 내용은 http://wikipedia.org/wiki/Certificate_authority를 참조하십시오.

이러한 변경 사항이 필요한 이유는 무엇입니까?

브라우저의 Java는 공격자들에게 흔한 공격 대상입니다. 2012년, Java 7u10에서는 명시적으로 Java 응용 프로그램의 실행을 허용하는 데 필요한 보안 기능이 도입되었습니다. 신뢰하지 않는 응용 프로그램이 실행되지 않게 차단하도록 Java를 구성할 수도 있습니다. 신뢰할 수 있는 응용 프로그램은 인증 기관이 발급한 적합한 디지털 인증서를 포함하며 이에 따라 응용 프로그램 제공자의 ID에 대한 정보를 제공하는 응용 프로그램입니다. 이러한 인증서를 통해 Java는 해당 제공자가 생성한 응용 프로그램의 안전 및 보안을 보강할 수 있습니다.

브라우저에서 Java 응용 프로그램을 실행하는 시스템의 보안을 위해 수행할 수 있는 추가 단계는 무엇입니까?

Java 사용자, 시스템 관리자 및 개발자는 시스템을 최신 버전으로 유지할 것을 권장합니다. Java 자동 업데이트 방식은 Java 사용자가 최신 보안 수정을 유지하도록 하기 위해 설계되었습니다.

이전에 자동 업데이트를 해제한 경우 자동 업데이트를 다시 사용으로 설정하여 시스템에서 최신 버전의 가장 안전한 Java 설치를 유지하십시오. 자세한 내용은 Java 7로 Java 6 자동 업데이트 FAQ를 참조하십시오.

일반 사용자 Java - 도움말(Java.com)
Java 제어판의 보안 레벨 설정
개발자 Java 프로그래밍 언어에 대한 Java SE 보안 안전 코드 작업 지침
보안에 대한 JAR 파일 Manifest 속성
Java SE 보안 설명서
서명된 코드 변경 사항에 대한 기술 정보
기업 Oracle Java SE 지원에서는 주요 응용 프로그램에 대한 24x7 전자 메일 및 전화 지원을 제공합니다.
Oracle Java SE Advanced 및 Oracle Java SE Suite 제품은 Java 기반 IT 환경의 배치, 모니터링 및 유지 관리 비용을 최소화할 수 있는 엔터프라이즈 기능을 제공합니다.
시스템 관리자 응용 프로그램을 허용 목록에 추가하기 위한 배치 규칙 집합
배치 모범 사례
시스템 관리자를 위한 Java 플러그인 가이드
자습서: Java SE의 보안 기능