Geliştiriciler - Gözatıcıdaki Java İçeriği - Güvenlik Bildirimi Değişiklikleri

Bu makale aşağıdakilerle ilgilidir:
  • Platformlar: Tüm Platformlar
  • Java sürümleri 7.0, 8.0

Geliştiriciler: 7u51 sürümüyle (Ocak 2014) birlikte, Zengin Internet Uygulamalarınız (RIA'lar, Applet ve Web Başlangıç uygulamaları olarak da bilir) güncellenmelidir. Gerekli güncellemeler paketleme ve dağıtıma ilişkindir; API kodu değişiklikleri gerekli değildir. Bu değişikliklerin kapsamı güvenli ortamlı uygulamaların olası yeniden hedeflendirilmesine bağlıdır; izinlerin imzalı bir JAR içine yerleştirilmesi belirtilen izin düzeyinizin değiştirilmesini engeller.
RIA'ların içermesi gereken iki öğe vardır:

  1. Güvenilen bir yetkiliye ait kod imzaları. Tüm Applet ve Web Başlangıç uygulamaları kodları, İzin özelliklerine bakılmaksızın imzalanmalıdır.
  2. Bildirim Özellikleri
    1. İzinler - 7u25 ile kullanıma sunuldu ve 7u51 itibarıyla zorunlu hale getirildi. Zengin Internet Uygulaması'nın güvenli ortam içinde çalışacağını veya tam izin gerektireceğini gösterir.
    2. Kod temeli - 7u25 ile kullanılma sunuldu ve 7u51 itibarıyla isteğe bağlıdır/teşvik edilmektedir. Barındırılan kodun bilinen konumuna işaret eder.

Daha fazla bilgi için Java Platform Grubu Ürün Yönetimi web günlüğüne bakın.

 Java 7 Update 45 (7u45), Ekim 2013: LiveConnect çağrıları Zengin Internet Uygulamalarıyla etkileşim kurmadan önce izin ister
  • JavaScript LiveConnect aracılığıyla Java uygulamalarıyla etkileşim kuran web sayfaları (etki alanları) için kullanıcılardan izin vermeleri istenir.
  • Geliştiriciler, JavaScript kodunun uygulamadaki yöntemleri çağırabileceği konumları tanımlamak için Caller-Allowable-Codebase Bildirim özelliğini eklemelidir.
 Java 7 Update 40 (7u40), Eylül 2013: Sistem Yöneticileri, yönettikleri masaüstü bilgisayarlardaki uygulamaları güvenilir uygulamalar listesine ekleyebilirler
  • Sistem Yöneticileri, Dağıtım Kuralı Kümeleri kullanarak kullanıcıların bilgisayarlarında çalıştırılmak üzere belirli Java uygulamalarını güvenilir uygulamalar listesine ekleyebilirler. Sistem yöneticileri Dağıtım Kuralı Kümesi dokümantasyonuna bakabilir veya Dağıtım Kuralı Kümesi örnekleriyle başlayabilirler.
Java 7 Güncelleme 21 (7u21), Nisan 2013: Tarayıcıdan erişilen tüm Java içeriği (Applet'ler ve Uygulamalar dahil) çalışmaya başlamadan önce izin isteyecektir.
  • Bilgi istemindeki mesaj, bir uygulamanın çalıştırılmasıyla ilgili risk faktörlerine bağlı olarak değişir. Yaygın güvenlik mesajlarını gözden geçirmek için bkz. Güvenlik İletişim Kutuları- SSS.
  • Düşük risk senaryoları, daha basit mesajlar sunar ve uygulamaya bir sonraki erişimde bu mesajların gösterilmemesine yönelik bir onay kutusu içerir.
  • Dijital sertifika tanımlanmadan bir uygulamanın çalıştırılması gibi yüksek risk senaryoları ise ek etkileşimler gerektirir.
Geliştiriciler ve sistem yöneticileri imzalı kod değişiklikleri konusunda daha teknik bilgileri gözden geçirmek isteyecektir.

Bu değişikliklerin etkileri nelerdir?

Bütün olarak bu değişiklikler kullanıcıların yazılım yayımcılarını doğrulamalarına ve uygulamayla olan etkileşimi teyit etmelerine olanak sağlar.

Kod imzalama sertifikalarının kullanılması, Java'nın, kullanıcının uygulamayı çalıştırıp çalıştırmayacağına karar vermesini kolaylaştırmak amacıyla uygulama satıcısı hakkında kesin bilgileri sunmasını sağlar

Bu değişiklikler normalde çalıştırdığım Java tabanlı uygulamalarda kesintiye neden olacak mı?

Açıkladığımız değişiklikler normalde çalıştırdığınız uygulamalarda kesintiye neden olmaz. Ancak sizden, 'Çalıştır' düğmesine tıklayarak uygulamaya açıkça çalışma izni vermenizi isteyebilirler. Bu, yüksek riskli uygulamaların bilgisayarınızda otomatik olarak çalıştırılmasını önlemek konusunda kontrolü size bırakır.

Uyumlulukla ilgili endişeleri olan Sistem Yöneticileri, yönettikleri masaüstü bilgisayarlarda belirli Zengin Internet Uygulamalarını güvenilir uygulamalar listesine eklemek için Dağıtım Kuralı Kümesi özelliğini kullanabilirler.

İmzalanmamış bir uygulamanın iletişim kutusunda bu uygulama için Bunu tekrar gösterme seçeneğini neden görmüyorum?

Java 7 Güncelleme 40'tan itibaren, Bu uygulama için bunu bir daha gösterme seçeneği artık kullanılmamaktadır. Önceki sürümlerin aksine, kullanıcı artık imzalanmamış bir uygulama için güvenlik iletişim kutusunu engelleyememektedir ve imzalanmamış uygulamayı her çalıştırmak istediğinde Riski kabul ediyor ve bu uygulamayı çalıştırmak istiyorum seçeneğini işaretlemek zorundadır.

Sertifika Yetkilisi nedir?

Sertifika Yetkilisi güvenilen bir üçüncü taraftır. Genellikle dijital sertifikalar yayınlayan bir ticari işletmedir. Sertifikalar kimliği teyit edilen organizasyonlar ve kişiler için yayınlanır. Bir uygulamanın sertifikanın sahibi tarafından yayınlandığının doğrulanması için ilgili bilgisayar uygulamasına dijital sertifika eklenir. Daha fazla bilgi için bkz. http://wikipedia.org/wiki/Certificate_authority.

Bu değişiklikler benim için neden önemli?

Tarayıcı içindeki Java içeriği saldırganlar tarafından yaygın olarak hedef alınmaktadır. Java 7u10, 2012 yılında Java uygulamalarına açıkça çalışma izni vermenizi gerektiren güvenlik özelliklerini sunmuştur. Ayrıca güvenilmeyen bir uygulamanın çalışmasını engellemek üzere Java'yı yapılandırabilirsiniz. Güvenilen uygulamalar, bir Sertifika Yetkilisi tarafından verilmiş geçerli bir dijital sertifikaya sahip olan ve dolayısıyla uygulama sağlayıcısının kimliği hakkında bilgiler sağlayan uygulamalardır. Bu sertifikalar Java'nın bu sağlayıcılar tarafından oluşturulan uygulamaların güvenliğini uygulamasını sağlar.

Tarayıcı içinde Java uygulamaları çalıştıran sistemlerin güvenliğini sağlamak için uygulayabileceğim ek adımlar var mı?

Java kullanıcıları, sistem yöneticileri ve geliştiriciler en son sürümleri kullanarak sistemlerini güncel tutmaları konusunda desteklenmektedir. Java otomatik güncelleme mekanizması Java kullanıcılarının en son güvenlik düzeltmeleri yoluyla sistemlerini güncel tutmalarını sağlamak üzere tasarlanmıştır.

Otomatik güncellemeyi daha önce devre dışı bıraktıysanız sisteminizde en son ve en güvenli Java kurulumuna sahip olmak için bu özelliği yeniden etkinleştirin. Daha fazla bilgi için bkz. Java 6'dan Java 7'ye Otomatik Güncelleme - SSS.

Son Kullanıcılar Java - Yardım (Java.com)
Java Denetim Masası'ndaki güvenlik düzeyi ayarları
Geliştiriciler Java Programlama Dili için Java SE Güvenlik - Güvenli Kod Yazma Kılavuzları
Security için JAR Dosyası Bildirim Özellikleri
Java SE Güvenlik Belgeleri
İmzalı kod değişikliğiyle ilgili teknik bilgiler
Kurumsal Oracle Java SE Support kritik uygulamalar için e-posta ve telefon yoluyla 7 gün 24 saat destek sağlar
Oracle Java SE Advanced ve Oracle Java SE Suite ürünleri dağıtım, izleme ve Java temelli ortamların bakımına ilişkin maliyetleri en aza indiren kurumsal özellikler sunar.
Sistem Yöneticisi Güvenli uygulamalar listesine eklenen uygulamalar için Dağıtım Kuralı Kümeleri
Dağıtımla İlgili Önerilen Yöntemler
Sistem Yöneticileri için Java Eklentisi Kılavuzu
Eğitim Programı: Java SE içindeki Güvenlik Özellikleri