Ontwikkelaar: wijzigingen in Java beveiligingsmanifest in de browser

Ontwikkelaars: Java-inhoud in de browser: wijzigingen in beveiligingsmanifest

Dit artikel is van toepassing op:

Platform(s): Alle platforms
Java-versie(s): 7.0, 8.0

Ontwikkelaars: met ingang van van 7u51, (januari 2014), moeten uw Rich Internet Applications (RIAs, ook wel bekend als Applets en Web Start-applicaties) worden bijgewerkt. De vereiste updates betreffen de verpakking en distributie; wijzigingen in de API-code zijn niet nodig. De aanleiding voor deze wijzigingen heeft te maken met mogelijk gebruik voor andere doeleinden van sandboxed applicaties waarbij het vastleggen van autorisaties binnen een ondertekende JAR wijziging van uw opgegeven autorisatieniveau verhindert.
RIA's moeten twee dingen bevatten:

Codeondertekeningen van een vertrouwde instantie Alle code voor Applets en Web Start-applicaties moet ondertekend zijn, ongeacht de autorisatieattributen van de code.
Manifestattributen

Autorisaties – geïntroduceerd in 7u25, en verplicht vanaf 7u51 Geeft aan of de RIA moet worden uitgevoerd binnen de sandbox of volledige autorisatie moet vereisen.
Codebase – geïntroduceerd in 7u25, en optioneel/aangemoedigd vanaf 7u51 Verwijst naar de bekende locatie van de gehoste code.

Zie Java Platform Group Product Management blog voor meer informatie.

Java 7 Update 45 (7u45), oktober 2013: bij LiveConnect-oproepen wordt toestemming gevraagd vóór interactie met Rich Internet Applications

Gebruikers wordt gevraagd rechten te verlenen aan webpagina's (domeinen) die met Java communiceren via JavaScript LiveConnect.
Ontwikkelaars moeten het manifestattribuut Caller-Allowable-Codebase toevoegen om de locaties te identificeren waarvandaan in JavaScript-code methoden kunnen worden aangeroepen in de applicatie.

Java 7 Update 40 (7u40), september 2013: systeembeheerders kunnen applicaties op een whitelist zetten binnen hun beheerde desktops

Systeembeheerders kunnen met behulp van implementatieregelsets bepaalde applicaties op een whitelist zetten zodat ze op computers van gebruikers kunnen worden uitgevoerd. Systeembeheerders kunnen de Documentatie over implementatieregelsets raadplegen of starten met voorbeelden van implementatieregelsets.

Java 7 update 21 (7u21), april 2013: voor alle Java inhoud die via de browser wordt geopend (inclusief applets en applicaties) wordt toestemming gevraagd om deze uit te voeren.

Het bericht in de prompt verschilt, afhankelijk van de risicofactoren die voor het uitvoeren van een applicatie gelden. Raadpleeg de Beveiligingsvensters met veelgestelde vragen voor de algemene beveiligingsberichten.
Bij scenario's met een lager risico horen eenvoudigere berichten, en ze bevatten een selectievakje waarmee het verschijnen van deze berichten kan worden voorkomen als de applicatie de volgende keer wordt gestart.
Voor scenario's met een hoger risico, zoals het uitvoeren van een applicatie zonder identificerend digitaal certificaat, is aanvullende interactie vereist.

Ontwikkelaars en systeembeheerders kunnen meer technische informatie over de gewijzigde ondertekende code bekijken.

Welk effect hebben deze wijzigingen?

Kort samengevat kunnen gebruikers door deze wijzigingen de uitgever van de software verifiëren en de interactie met de applicatie bevestigen. Met certificaten van ondertekende code kan nauwkeurige informatie worden gegeven over de leverancier van de applicatie, zodat de gebruiker kan beslissen of de applicatie moet worden uitgevoerd.

Zijn deze wijzigingen schadelijk voor de op Java gebaseerde applicaties die ik gewoonlijk uitvoer?

De beschreven wijzigingen zijn gewoonlijk niet schadelijk voor de door u uitgevoerde applicaties. Het kan echter zijn dat expliciet om toestemming wordt gevraagd de applicatie uit te voeren door op de knop 'Uitvoeren' te klikken. Hiermee kunt u voorkomen dat applicaties met een hoog risico automatisch op uw computer worden uitgevoerd.

Systeembeheerders die zich bekommeren om compatibiliteit, kunnen de implementatieregelsetfunctie gebruiken om bepaalde Rich Internet Applications op een whitelist zetten voor alle beheerde desktops.

Waarom zie ik de optie om Niet meer weergeven voor deze app te selecteren in het beveiligingsdialoogvenster voor een niet-ondertekende applicatie niet?

Vanaf Java 7 update 40 is de optie Do not show this again for this app (Niet meer weergeven voor deze app) niet meer beschikbaar. In tegenstelling tot vorige versies kan een gebruiker het beveiligingsdialoogvenster voor een niet-ondertekende applicatie niet onderdrukken en moet de optie I accept the risk and want to run this app (Ik accepteer het risico en wil deze app uitvoeren) worden geselecteerd telkens wanneer de niet-ondertekende applicatie wordt uitgevoerd.

Wat is een Certificate Authority?

Een Certificate Authority (certificeringsinstantie) is een vertrouwde, externe partij. Het betreft gewoonlijk een commercieel bedrijf dat digitale certificaten uitgeeft. De certificaten worden uitgegeven aan organisaties of individuele personen nadat hun identiteit is geverifieerd. Het digitale certificaat wordt toegevoegd aan computerapplicaties om te valideren dat de applicatie afkomstig is van de eigenaar van het certificaat. Zie http://wikipedia.org/wiki/Certificate_authority voor meer informatie.

Waarom zijn deze wijzigingen belangrijk voor mij?

Java in de browser is een populair doel voor aanvallers. In 2012 werden met Java 7u10 beveiligingsfuncties geïntroduceerd waarmee u expliciet moet toestaan of Java applicaties worden uitgevoerd. U kunt Java ook zodanig configureren dat het uitvoeren van niet-vertrouwde applicaties wordt geblokkeerd. Vertrouwde applicaties bevatten een digitaal certificaat dat door een certificeringsinstantie is uitgegeven. Dit certificaat bevat informatie over de identiteit van de leverancier van de applicatie. Dankzij deze certificaten wordt de veiligheid en beveiliging van de door deze leveranciers gemaakte applicaties gegarandeerd.

Welke aanvullende stappen kan ik nemen om de veiligheid te garanderen van een computer waarop Java-applicaties in de browser worden uitgevoerd?

Java-gebruikers, systeembeheerders en -ontwikkelaars wordt sterk aangeraden de computers up-to-date te houden met de nieuwste versies. Het automatische Java-updatemechanisme is ontworpen om Java-gebruikers op de hoogte te houden van de laatste beveiligingsfixes.

Als u de automatische-updatefunctie eerder hebt uitgeschakeld, moet u deze opnieuw inschakelen om er zeker van te zijn dat op uw computer de nieuwste en veiligste Java-installaties zijn geïnstalleerd. Zie Veelgestelde vragen over automatische updates van Java 6 naar Java 7 voor meer informatie.

Eindgebruikers	Java : Help (Java.com) Beveiligingsniveau-instellingen in het Java-besturingspaneel
Ontwikkelaars	Java SE Security Secure Coding Guidelines for the Java Programming Language JAR File Manifest Attributes for Security Java SE Security Documentation technical information about the signed code change
Bedrijven	Oracle Java SE Support biedt 7 dagen per week dag en nacht ondersteuning via telefoon en e-mail voor bedrijfskritische applicaties. Producten van Oracle Java SE Advanced en Oracle Java SE Suite bieden zakelijke functies die de kosten van implementatie, controle en onderhoud van op Java gebaseerde IT-omgevingen minimaliseren.
Systeembeheerders	Deployment Rule Sets for whitelisting applications Deployment Best Practices Java Rich Internet Applications Guide Zelfstudie: Security Features in Java SE