Co należy zrobić, gdy zostanie wyświetlony monit zabezpieczeń oprogramowania Java?
Artykuł dotyczy:
- Wersje oprogramowania Java: 7.0, 8.0
Java 7 Update 21 wprowadziła zmiany w funkcjonowaniu wtyczki Java używanej w przeglądarkach, dzięki czemu użytkownik może — przed uruchomieniem apletu Java w przeglądarce — podejmować bardziej świadome decyzje. Zanim zawartość Java zostanie uruchomiona w przeglądarce, nastąpi wyświetlenie monitu zabezpieczeń wzywającego do potwierdzenia takiej decyzji. Użytkownicy, programiści i administratorzy systemów, którzy potrzebują bardziej technicznych informacji mogą skorzystać z łączy zamieszczonych na końcu tego artykułu.
Poziomy zagrożenia
Typ prezentowanych komunikatów zależy od różnych czynników ryzyka, takich jak używanie starszych wersji oprogramowania Java lub uruchamianie apletów, których kod nie jest podpisany przez zaufaną jednostkę certyfikującą. Dla aplikacji stanowiących mniejsze zagrożenie jest wyświetlany prosty komunikat informacyjny. Udostępniana jest wówczas opcja zapobiegająca pokazywaniu w przyszłości podobnych komunikatów dotyczących aplikacji pochodzących od tego samego dostawcy.
Ta strona opisuje różne monity oraz pomaga zrozumieć ryzyko wynikające z uruchamiania apletów Java.
| Monity zabezpieczeń dotyczące aplikacji Java i zawierające poniższe elementy graficzne informują o mniejszym zagrożeniu bezpieczeństwa. | ||
|---|---|---|
 |
Logo Java lub logo publikującego | Przedstawia aplikację identyfikowaną przez ważny certyfikat wystawiony przez zaufaną jednostkę certyfikującą (CA). Więcej informacji jest dostępnych poniżej. |
|
Niebieska tarcza informacyjna | Sygnalizacja, że aplikacja może zostać zidentyfikowana za pomocą ważnego certyfikatu oraz że są dostępne dalsze informacje. |
| Monity zabezpieczeń dotyczące aplikacji Java i zawierające poniższe elementy graficzne informują o większym zagrożeniu; takie aplikacje nie powinny być uruchamiane. | ||
|---|---|---|
|
Żółty trójkąt ostrzegawczy | Przedstawia aplikację, której nie można zidentyfikować wskutek niezaufanego lub zdezaktualizowanego certyfikatu. Więcej informacji jest dostępnych poniżej. |
|
Żółta tarcza ostrzegawcza | Sygnalizacja, że aplikacja jest niepodpisana i/lub jej certyfikat jest niepoprawny. Nie należy ufać informacji identyfikacyjnej udostępnianej przez ten certyfikat. |
» Więcej informacji o zmianach dotyczących podpisanego kodu
Aplikacja Java z certyfikatem od zaufanej jednostki certyfikującej
Aplikacje tego typu zazwyczaj stanowią niewielkie zagrożenie. Poniższe okno dialogowe odnosi się do aplikacji z ważnym certyfikatem wydanym przez zaufaną jednostkę certyfikującą.Na co zwracać uwagę:
- Nazwa wydawcy: Wyświetlana
- Pokazane ikony: Logo Java lub logo wydawcy i niebieska tarcza informacyjna
.jpg)
W zależności od sposobu implementacji aplikacji mogą być wyświetlane różne odmiany tego okna dialogowego.
» Więcej informacji o innych oknach dialogowych związanych z zaufanymi, podpisanymi certyfikatami
Co zrobić:
- Sprawdzić informacje „Name” (Nazwa), „Publisher” (Wydawca) i „Location” (Lokalizacja) wyświetlane w oknie dialogowym. Zalecamy naciśnięcie przycisku Anuluj jeśli którekolwiek z tych informacji nie są zgodne.
| Komunikat wyświetlany w tym oknie dialogowym zmienia się w zależności od rodzaju dostępu żądanego przez aplikację: | |
|---|---|
| Dostęp nieograniczony (uprzywilejowany) | Aplikacja będzie działała z nieograniczonym dostępem, co może stanowić zagrożenie dla komputera i danych osobistych użytkownika. Aplikację taką należy uruchamiać tylko wtedy, gdy mamy zaufanie do lokalizacji i wydawcy. |
| Dostęp ograniczony (środowisko Sandbox) | Aplikacja będzie działała z ograniczonym dostępem, zapewniającym ochronę komputera i danych osobistych użytkownika. |
Aplikacja Java bez certyfikatu (niepodpisana)
Zaczynając od wersji Java 7 Update 51, aplikacje bez certyfikatu (tj. aplikacje niepodpisane) lub aplikacje, dla których brakuje informacji o nazwie i wydawcy, są domyślnie blokowane. Uruchamianie takich aplikacji jest potencjalnie niebezpieczne i stanowi większe zagrożenie.Na co zwracać uwagę:
- Tytuł okna dialogowego: Application Blocked lub Java Application Blocked (Java 8)
- Nazwa wydawcy: Brak wyszczególnionego wydawcy
- Tytuł komunikatu: Application Blocked by Security Settings lub Application Blocked by Java Security (Java 8)
- Komunikat: Your security settings have blocked an untrusted application from running (Przyjęte ustawienia zabezpieczeń zablokowały uruchomienie niezaufanej aplikacji)
For security, applications must now meet the requirements for the High or Very High security settings, or be part of the Exception Site List, to be allowed to run. (Ze względów bezpieczeństwa aplikacje — aby mogły zostać uruchomione — muszą teraz spełniać wymagania właściwe dla poziomu zabezpieczeń „High” lub „Very High” albo muszą zostać zamieszczone na liście wyjątków witryn”.) [8u20 i wersje nowsze]
.jpg)
Co zrobić:
Stanowczo zaleca się nieuruchamianie takiego typu aplikacji. Jeśli jednak użytkownik rozumie ryzyko i mimo to chce uruchomić aplikację, może dodać jej adres URL do listy wyjątków witryn znajdującej się na karcie „Security” (Zabezpieczenia) panelu Java Control Panel. Gdy adres URL aplikacji zostanie dodany do tej listy, aplikację tę będzie można uruchomić, przy czym będą wyświetlane ostrzeżenia związane z zabezpieczeniami.
» Jak zarządzać listą wyjątków witryn i jak ją skonfigurować?
Aplikacja Java ze zdezaktualizowanym certyfikatem od zaufanej jednostki certyfikującej
Aplikacje tego typu stanowią umiarkowane zagrożenie ponieważ wydawca nie odnowił ich certyfikatu.Na co zwracać uwagę:
- Tytuł okna dialogowego: Application Blocked lub Java Application Blocked (Java 8)
- Tytuł komunikatu: Application Blocked by Security Settings lub Application Blocked by Java Security (Java 8)
- Ostrzeżenie: Your security settings have blocked an application signed with an expired or not-yet-valid certificate from running (Przyjęte ustawienia zabezpieczeń zablokowały uruchomienie aplikacji podpisanej przy użyciu zdezaktualizowanego certyfikatu lub jeszcze nieważnego.)
For security, applications must now meet the requirements for the High or Very High security settings, or be part of the Exception Site List, to be allowed to run. (Ze względów bezpieczeństwa aplikacje — aby mogły zostać uruchomione — muszą teraz spełniać wymagania właściwe dla poziomu zabezpieczeń „High” lub „Very High” albo muszą zostać zamieszczone na liście wyjątków witryn”.) [8u20 i wersje nowsze]
.jpg)
Jeśli jest używana starsza wersja środowiska Java, mogą być wyświetlane inne odmiany tego okna dialogowego.
Co zrobić:
Stanowczo zaleca się nieuruchamianie takiego typu aplikacji. Jeśli jednak użytkownik rozumie ryzyko i mimo to chce uruchomić aplikację, może dodać jej adres URL do listy wyjątków witryn znajdującej się na karcie „Security” (Zabezpieczenia) panelu Java Control Panel. Gdy adres URL aplikacji zostanie dodany do tej listy, aplikację tę będzie można uruchomić, przy czym będą wyświetlane ostrzeżenia związane z zabezpieczeniami.
» Jak zarządzać listą wyjątków witryn i jak ją skonfigurować?
| Komunikat wyświetlany w tym oknie dialogowym zmienia się w zależności od rodzaju dostępu żądanego przez aplikację: | |
|---|---|
| Dostęp nieograniczony (uprzywilejowany) | Aplikacja będzie działała z nieograniczonym dostępem, co może stanowić zagrożenie dla komputera i danych osobistych użytkownika. Podana informacja jest niepewna lub nieznana, dlatego zaleca się nie uruchamiać tej aplikacji, chyba że jej źródło jest dobrze znane |
| Dostęp ograniczony (środowisko Sandbox) | Aplikacja będzie działała z ograniczonym dostępem, zapewniającym ochronę komputera i danych osobistych użytkownika. |
Aplikacja Java z certyfikatem pochodzącym z niezaufanego źródła
Zaczynając od wersji Java 7 Update 51, aplikacje z samodzielnie podpisany certyfikatami są domyślnie blokowane. Aplikacje tego typu stanowią największe zagrożenie ponieważ wydawca nie jest zidentyfikowany, a aplikacja może uzyskać dostęp do danych osobistych przechowywanych w komputerze.
Na co zwracać uwagę:- Tytuł okna dialogowego: Application Blocked lub Java Application Blocked (Java 8)
- Nazwa wydawcy: Brak wyszczególnionego wydawcy
- Tytuł komunikatu: Application Blocked by Security Settings lub Application Blocked by Java Security (Java 8)
- Komunikat: Your security settings have blocked a self-signed application from running (Przyjęte ustawienia zabezpieczeń zablokowały uruchomienie samodzielnie podpisanej aplikacji)
For security, applications must now meet the requirements for the High or Very High security settings, or be part of the Exception Site List, to be allowed to run. (Ze względów bezpieczeństwa aplikacje — aby mogły zostać uruchomione — muszą teraz spełniać wymagania właściwe dla poziomu zabezpieczeń „High” lub „Very High” albo muszą zostać zamieszczone na liście wyjątków witryn”.) [8u20 i wersje nowsze]
.jpg)
Co zrobić:
Stanowczo zaleca się nieuruchamianie takiego typu aplikacji. Jeśli jednak użytkownik rozumie ryzyko i mimo to chce uruchomić aplikację, może dodać jej adres URL do listy wyjątków witryn znajdującej się na karcie „Security” (Zabezpieczenia) panelu Java Control Panel. Gdy adres URL aplikacji zostanie dodany do tej listy, aplikację tę będzie można uruchomić, przy czym będą wyświetlane ostrzeżenia związane z zabezpieczeniami.
» Jak zarządzać listą wyjątków witryn i jak ją skonfigurować?
Sprawdzanie cofnięcia certyfikatu dla aplikacji Java
Poczynając od wersji Java 7u25, przy każdej próbie uruchomienia dowolnej aplikacji Java, certyfikat podpisujący będzie weryfikowany — w wydającej go jednostce certyfikującej — z użyciem list cofnięć certyfikatów (CRL — Certificate Revocation List) oraz protokołu OCSP (Online Certificate Status Protocol) w celu sprawdzenia, czy certyfikat ten, użyty do podpisania aplikacji, nie został cofnięty przez wydającą go jednostkę certyfikującą.Funkcja ta ma na celu ochronę systemów użytkowników końcowych przed szkodliwymi działaniami programistów, którzy w przeszłości używali (do podpisywania aplikacji) certyfikatów ukradzionych lub nielegalnie nabytych. Przed uruchomieniem jakiejkolwiek internetowej aplikacji z użyciem oprogramowania Java 7u25 (i wersji nowszych) będzie podejmowana próba skontaktowania się z jednostką certyfikującą w celu sprawdzenia statusu cofnięcia certyfikatu. Działanie to ma na celu ochronę przed skradzionymi lub wadliwymi certyfikatami.
Na co zwracać uwagę:
Test cofnięcia certyfikatu może generować różne komunikaty w zależności od wyników sprawdzania:
- Certificate is revoked (Certyfikat został cofnięty)
- Failed to validate certificate (Nie udało się zweryfikować certyfikatu)
- Unable to connect to Certificate Authority (Nie można się połączyć z jednostką certyfikującą)
Certificate is revoked. Application will not be executed. (Certyfikat został cofnięty. Aplikacja nie zostanie uruchomiona.)
To okno dialogowe zostaje wyświetlone, gdy jest podejmowana próba uruchomienia aplikacji z użyciem certyfikatu, który został cofnięty przez jednostkę certyfikującą (CA). Taka sytuacja stanowi największe zagrożenie. Aplikacja nie zostanie uruchomiona, ponieważ może pochodzić ze szkodliwego źródła..jpg)
Failed to validate certificate. Application will not be executed. (Certyfikat został cofnięty. Aplikacja nie zostanie uruchomiona.)
To okno dialogowe zostaje wyświetlone, gdy jest podejmowana próba uruchomienia aplikacji z użyciem certyfikatu, który nie może zostać zweryfikowany przez jednostkę certyfikującą (CA). Pojawia się, gdy poziom zabezpieczeń został ustawiony w panelu Java Control Panel na „Very High” (Bardzo wysoki), a certyfikatu nie można zweryfikować.
Unable to connect to Certificate Authority (Nie można się połączyć z jednostką certyfikującą)
To okno dialogowe zostaje wyświetlone, gdy występuje błąd sieci i nie można się połączyć z jednostką certyfikującą (CA) w celu weryfikacji certyfikatu. W takim przypadku aplikację można zazwyczaj bezpiecznie uruchomić, ponieważ jej działania są ograniczone, aczkolwiek mogą stanowić umiarkowane zagrożenie. Jeśli wydawca odwiedzanego serwisu nie jest znany, zalecamy nacisnąć przycisk „Cancel” (Anuluj).» Więcej informacji dotyczących opcji konfigurowania w panelu Java Control Panel ustawień związanych z cofaniem certyfikatów.
INFORMACJE TECHNICZNE
- Więcej informacji dotyczących monitów zabezpieczeń można znaleźć na stronie Podpisywanie kodu — często zadawane pytania.
- Programiści i administratorzy systemów powinni się zapoznać z artykułem Java Applet and Web Start Code Signing. (OTN)