Для разработчиков - Содержимое Java в браузерах - Изменения манифеста безопасности
Этот раздел касается:
- Платформы: Все платформы
- Версии Java: 7.0, 8.0
Разработчики. Начиная с версии 7u51 (январь 2014 г.), необходимо обновить полнофункциональные интернет-приложения (RIA), также известные как апплеты и приложения Applets и Web Start. Требуемые обновления относятся к упаковке и распространению; изменения кода API не требуются. Необходимость этих изменений связана с возможным изменением назначения приложений в результате чего помещение разрешений в подписанном файле JAR предотвращает изменение указанного уровня разрешения.
Приложения RIA должны содержать два типа объектов:
- Подписи кода из доверенного центра. Весь код для апплетов и приложений Web Start должен быть подписан, независимо от его атрибутов разрешений.
- Атрибуты манифеста
- Разрешения – введены в 7u25 и необходимы, начиная с 7u51. Указывает, должно ли RIA выполняться в песочнице или требуются специальные полные разрешения.
- База кодов – введена в 7u25 и необязательна, но рекомендуется, начиная с 7u51. Указывает на известное положение серверного кода.
Дополнительную информацию см. в блоге Java Platform Group Product Management.
Java 7 (обновление 45) (7u45), октябрь 2013: запрашивается разрешение для вызовов LiveConnect перед взаимодействием с полнофункциональными интернет-приложениями (RIA)- Пользователям выдается напоминание на предоставление разрешения для веб-страниц (доменов), которые взаимодействуют с приложениями Java через JavaScript LiveConnect.
- Разработчики должны добавить атрибут манифеста
Caller-Allowable-Codebaseчтобы определить расположения, из которых код JavaScript может вызывать методы в приложении
- Системные администраторы могут добавлять определенные приложения Java в 'белый список' для выполнения их на компьютерах пользователей с помощью наборов правил развертывания. Системные администраторы могут обратиться к документации по наборам правил развертывания или использовать примеры наборов правил развертывания.
- Сообщение с запросом будет отличаться в зависимости от факторов риска, возникающих при запуске приложения. Обзор общих сообщений системы безопасности см. в разделе Часто задаваемые вопросы по диалоговым окнам системы безопасности.
- В сценариях для низких рисков отображаются более простые сообщения, кроме того, с помощью установки флажка можно запретить отображение этих сообщений при следующем доступе к приложению.
- Сценарии для высоких рисков, такие как запуск приложений без определяющих цифровых сертификатов, требуют дополнительных действий от пользователя.
Какое влияние имеют эти изменения?
Эти изменения позволяют пользователям проверять издателя программного обеспечения и подтверждать взаимодействие с приложением. Использование сертификатов с подписанным кодом позволяет Java предоставлять точную информацию о поставщике приложения, чтобы пользователи могли определить для себя безопасность выполнения приложения.Могут ли эти изменения нарушить работу приложений на основе Java, которыми я обычно пользуюсь?
Описанные нами изменения не должны помешать работе обычно используемых приложений. Однако они могут запрашивать явное разрешение на запуск приложения путем нажатия кнопки 'Run'. Это предоставляет пользователю возможность контролировать и предотвращать автоматический запуск приложений с высоким уровнем риска на компьютере.Системные администраторы, для которых актуальны вопросы совместимости, могут воспользоваться функцией наборов правил развертывания чтобы добавить в 'белый список' конкретные полнофункциональные интернет-приложения (RIA) для управляемых настольных ПК.
Почему не отображается параметр, доступный для выбора, Не показывать снова для этого приложения в диалоговом окне безопасности для неподписанного приложения?
Начиная с Java 7 (обновление 40), параметр Не показывать снова для этого приложения более недоступен для выбора. В отличие от предыдущих версий пользователь не может подавить диалоговое окно безопасности для неподписанных приложений и необходимо выбрать вариант «Я соглашаюсь с риском и хочу запустить это приложение» при каждом запуске неподписанного приложения.Что такое центр сертификации?
Центром сертификации называется доверенная третья сторона - обычно, коммерческая компания, - которая выпускает цифровые сертификаты. Сертификаты выдаются организациям и частным лицам после процесса удостоверения подлинности. Цифровой сертификат добавляется к компьютерным приложениям для подтверждения того, что приложение выпущено владельцем сертификата. Подробнее см. http://wikipedia.org/wiki/Certificate_authority.Насколько важны эти изменения для меня?
Выполняемые в браузере приложения Java являются отличной мишенью для атак. В 2012 году Java 7u10 представила функции безопасности, которые требуют явного разрешения пользователя для запуска приложений Java. Также для Java можно настроить блокировку любых приложений, запуск которых не является доверенным. Доверенные приложения — это приложения, содержащие действительный цифровой сертификат, выданный центром сертификации, и предоставляющие информацию о подлинности поставщика приложения. Эти сертификаты позволяют Java улучшить защиту и безопасность приложений, созданных данными поставщиками.Какие дополнительные меры мне нужно принять для повышения безопасности систем, в которых приложения Java запускаются в браузере?
Мы настоятельно рекомендуем пользователям приложений Java, системным администраторам и разработчикам использовать в системе только обновленные версии Java. Механизм автообновления Java создан специально для того, чтобы пользователи Java могли получать самые последние исправления системы безопасности.Если вы отключили функцию автоматического обновления, включите ее для установки на компьютер самой последней и безопасной версии Java. Дополнительные сведения см. на странице Часто задаваемые вопросы по автоматическому обновлению Java 6 до версии Java 7.