O que devo fazer quando vir um prompt de segurança do Java?
Este artigo aplica-se a:
- Java version(s): 7.0, 8.0
O Java 7 Update 21 introduziu alterações no comportamento do plug-in do browser do Java que permitem que você tome decisões mais informadas antes de executar o applet Java no browser. Um prompt de segurança solicita uma confirmação antes de permitir que o conteúdo Java seja executado no browser. Para usuários, desenvolvedores e administradores de sistema que precisam obtermais informações técnicas consulte os links fornecidos no final deste artigo.
Níveis de Risco
As mensagens apresentadas dependem de fatores de riscos diferentes, tais como usar versões antigas do Java ou executar o código Applet que não foi assinado por uma Autoridade de Certificação confiável. Aplicações que apresentam um risco mais baixo exibem uma única mensagem informativa. Isso inclui uma opção para impedir a exibição de mensagens semelhantes de aplicativos do mesmo editor no futuro.
Esta página descreve os prompts para ajudar você a entender os riscos da execução do applet Java.
| Prompts de aplicações Java que incluem essas imagens apresentam um risco de segurança mais baixo. | ||
|---|---|---|
 |
O logotipo Java ou o logotipo dos editores | Representa uma aplicação que é identificada por um certificado válido de uma Autoridade de Certificação (CA) confiável. Veja abaixo para obter mais informações |
|
Escudo de informações azul | Indica que a aplicação pode ser identificada por um certificado válido e mais informações estão disponíveis. |
| Os prompts de aplicações Java que incluem essas imagens apresentam um risco de segurança mais alto e não deve ser executado. | ||
|---|---|---|
|
Triângulo de advertência amarelo | Representa uma aplicação que não pode ser identificada, pois o certificado não é confiável ou expirou. Veja abaixo para obter mais informações |
|
Escudo de advertência amarelo | Indica que a aplicação não está assinada e/ou o certificado não é válido. As informações de identificação fornecidas pelo certificado não devem ser confiadas. |
» Mais informações sobre as alterações relacionadas ao código assinado
Aplicação Java com um certificado de uma autoridade confiável
Aplicações desse tipo são normalmente de baixo risco. Este diálogo representa a aplicação com certificado válido de autoridade confiável.O que procurar:
- Nome do editor: exibido
- Ícones mostrados: logotipo Java ou do fornecedor e escudo de informações azul
.jpg)
Você pode ver variações do diálogo com base na maneira em que a aplicação é implantada.
» Mais informações sobre outras caixas de diálogo de certificado assinado Confiável
O que fazer:
- Verifique o Nome, Editor ou informações de Localização exibidas na caixa de diálogo. Recomendamos clicar em Cancelar se alguma dessas informações não corresponder.
| A mensagem apresentada na caixa de diálogo será diferente, dependendo do que a aplicação solicitar: | |
|---|---|
| Acesso irrestrito (Privilegiado) | Esta aplicação será executada com acesso irrestrito, o que pode colocar seu computador e suas informações pessoais em risco. Só execute esta aplicação se confiar no local e no editor. |
| Acesso limitado (Sandbox) | Esta aplicação será executada com acesso restrito, a fim de proteger seu computador e suas informações pessoais. |
Aplicação Java sem certificado (Não assinada)
A partir do Java 7 Update 51, as aplicações sem um certificado (ou seja, aplicações não assinadas) ou que estão sem informações de Nome e Editor da aplicação são bloqueadas por padrão. A execução deste tipo de aplicação é potencialmente insegura e pode representar um nível maior de risco.O que procurar:
- Título da caixa de diálogo: Aplicação Bloqueada ou Aplicação Java Bloqueada (Java 8)
- Nome do editor: Nenhum editor listado
- Título da mensagem: Aplicação Bloqueada pelas Definições de Segurança ou Aplicação Bloqueada pela Segurança Java (Java 8)
- Mensagem: suas definições de segurança impediram a execução de uma aplicação não confiável
Por motivos de segurança, as aplicações agora devem atender aos requisitos das definições de segurança Alta ou Muito Alta ou devem fazer parte da Lista de Sites de Exceção, para terem permissão de execução. (8u20 e versões posteriores)
.jpg)
O que fazer:
É altamente recomendável não executar este tipo de aplicação. No entanto, se estiver ciente do risco e, ainda assim, quiser executar a aplicação, você poderá adicionar o URL desta aplicação à Lista de Sites de Exceção que está localizada na guia Segurança do Painel de Controle Java. A inclusão do URL desta aplicação nessa lista permitirá que a aplicação seja executada após a exibição de algumas advertências de segurança.
» Como gerenciar e configurar uma Lista de Sites de Exceção?
Aplicação Java com um certificado de uma autoridade confiável expirado
Aplicações desse tipo geralmente representam um nível moderado de risco já que o editor não renovou seu certificado.O que procurar:
- Título da caixa de diálogo: Aplicação Bloqueada ou Aplicação Java Bloqueada (Java 8)
- Título da mensagem: Aplicação Bloqueada pelas Definições de Segurança ou Aplicação Bloqueada pela Segurança Java (Java 8)
- Advertência: suas definições de segurança bloquearam a execução de uma aplicação assinada com um certificado expirado ou ainda não válido
Por motivos de segurança, as aplicações devem atender aos requisitos das definições de segurança Alta ou Muito Alta ou devem fazer parte da Lista de Sites de Exceção, para terem permissão de execução. (8u20 e versões posteriores)
.jpg)
Você pode ver variações da caixa de diálogo ao executar uma versão anterior do Java.
O que fazer:
É altamente recomendável não executar este tipo de aplicação. No entanto, se estiver ciente do risco e, ainda assim, quiser executar a aplicação, você poderá adicionar o URL desta aplicação à Lista de Sites de Exceção que está localizada na guia Segurança do Painel de Controle Java. A inclusão do URL desta aplicação nessa lista permitirá que a aplicação seja executada após a exibição de algumas advertências de segurança.
» Como gerenciar e configurar uma Lista de Sites de Exceção?
| A mensagem apresentada na caixa de diálogo será diferente, dependendo do que a aplicação solicitar: | |
|---|---|
| Acesso irrestrito (Privilegiado) | Esta aplicação será executada com acesso irrestrito, o que pode colocar seu computador e suas informações pessoais em risco. As informações fornecidas não são confiáveis ou são desconhecidas, por isso, recomenda-se não executar essa aplicação, a menos que você esteja familiarizado com sua origem |
| Acesso limitado (Sandbox) | Esta aplicação será executada com acesso restrito, a fim de proteger seu computador e suas informações pessoais. |
Aplicação Java com um certificado de origem não confiável
A partir do Java 7 Update 51, as aplicações com certificados autoassinados estão bloqueadas por padrão. As aplicações deste tipo apresentam o nível mais alto de risco porque o editor não está identificado e pode ser que a aplicação tenha acesso aos dados pessoais existentes no computador.
O que procurar:- Título da caixa de diálogo: Aplicação Bloqueada ou Aplicação Java Bloqueada (Java 8)
- Nome do editor: Nenhum editor listado
- Título da mensagem: Aplicação Bloqueada pelas Definições de Segurança ou Aplicação Bloqueada pela Segurança Java (Java 8)
- Mensagem exibida: suas definições de segurança impediram a execução de uma aplicação autoassinada
Por motivos de segurança, as aplicações devem atender aos requisitos das definições de segurança Alta ou Muito Alta ou devem fazer parte da Lista de Sites de Exceção, para terem permissão de execução. (8u20 e versões posteriores)
O que fazer:
É altamente recomendável não executar este tipo de aplicação. No entanto, se estiver ciente do risco e, ainda assim, quiser executar a aplicação, você poderá adicionar o URL desta aplicação à Lista de Sites de Exceção que está localizada na guia Segurança do Painel de Controle Java. A inclusão do URL desta aplicação nessa lista permitirá que a aplicação seja executada após a exibição de algumas advertências de segurança.
» Como gerenciar e configurar uma Lista de Sites de Exceção?
Verificação de Revogação para Aplicações Java
A partir da versão Java 7u25, antes da inicialização de qualquer aplicação Java, o certificado de assinatura será validado junto à autoridade de certificação emissora, usando as Listas de Revogação de Certificados (CRL) e o protocolo OCSP (Online Certificate Status Protocol) para verificar se o certificado usado para assinar a aplicação não foi revogado pela Autoridade de Certificação Emissora.Essa funcionalidade protegerá sistemas de usuário final contra desenvolvedores mal-intencionados que, no passado, usavam certificados roubados ou compravam certificados ilícitos para assinar aplicações. Antes de executar qualquer aplicação desenvolvida para Web com o Java 7u25 (e versões posteriores), será feita uma tentativa de contatar a autoridade de certificação para verificar o status de revogação e ajudar a proteger contra certificados roubados ou comprometidos.
O que procurar:
a verificação de revogação pode retornar mensagens diferentes com base na verificação:
- O Certificado foi revogado
- Falha ao validar o certificado
- Não é possível estabelecer conexão com a Autoridade de Certificação
O Certificado foi revogado. A aplicação não será executada.
Esta caixa de diálogo é exibida quando uma aplicação é executada com um certificado que foi revogado pela Autoridade de Certificação (CA). Este cenário apresenta o nível mais alto de risco. A aplicação não será executada porque pode ser de uma origem mal-intencionada.
Falha ao validar o certificado. A aplicação não será executada.
Esta caixa de diálogo é exibida quando uma aplicação com um certificado que não pode ser validado pela Autoridade de Certificação (CA) é executada. Ela aparecerá se você tiver definido o nível de segurança como Muito Alto no Painel de Controle do Java e o certificado não puder ser validado..jpg)
Não é possível estabelecer conexão com a Autoridade de Certificação
Esta caixa de diálogo será exibida quando houver uma falha de rede e a Autoridade de Certificação (CA) não puder ser acessada para validar o certificado. Neste caso, geralmente é seguro executar a aplicação porque suas ações são limitadas, mas ainda podem apresentar um nível moderado de risco. Recomendamos que você pressione Cancelar se não conhecer o editor do site que está visitando.» Mais informações sobre opções para configurar definições de revogação no Painel de Controle do Java.
MAIS INFORMAÇÕES TÉCNICAS
- Mais informações sobre os prompts de segurança podem ser encontradas nas Perguntas Frequentes sobre Assinatura de Código.
- Desenvolvedores e administradores de sistema devem consultar o artigo sobre o Applet Java e a Assinatura do Código do Web Start. (OTN)