当我看到来自 Java 的安全提示时,该怎么办?
本文适用于:
- Java 版本: 7.0, 8.0
Java 7 Update 21 引入了对 Java 浏览器插件行为的更改,使您可以在浏览器中运行 Java 小应用程序之前做出更知情的决策。将出现安全提示,要求先确认,然后才允许在浏览器中运行 Java 内容。对于用户、开发人员和系统管理员,如需更多技术信息,请参阅本文结尾处提供的链接。
风险水平
提供的消息取决于不同的风险因子,例如使用旧版本的 Java 或运行没有可信证书颁发机构签名的小应用程序代码。风险性较低的应用程序只显示简单的信息性消息。这包含用于阻止对将来同一发行者的应用程序显示类似消息的选项。
此页描述了可帮助您了解运行 Java 小应用程序的风险的提示。
| 包含这些图像的 Java 应用程序提示具有较低的安全风险。 | ||
|---|---|---|
 |
Java 徽标或发行者徽标 | 表示由来自可信证书颁发机构 (CA) 的有效证书标识的应用程序。请参阅以下内容了解详细信息 |
|
蓝色信息盾牌 | 指示应用程序可由有效证书标识并且提供详细信息。 |
| 包含这些图像的 Java 应用程序提示具有较高的安全风险,不应运行。 | ||
|---|---|---|
|
黄色三角警告牌 | 表示因证书不可信或过期而无法标识的应用程序。请参阅以下内容了解详细信息 |
|
黄色警告牌 | 指示应用程序未签名和/或证书无效。不应信任此证书提供的标识信息。 |
» 签名的代码更改的相关详细信息
具有来自可信颁发机构的证书的 Java 应用程序
此类型的应用程序通常为低风险。此对话框呈现的应用程序具有来自可信颁发机构的有效证书。查找内容:
- 发行者名称:已显示
- 显示的图标:Java 或供应商徽标和蓝色信息盾牌
.jpg)
根据部署应用程序的方式,会显示不同的对话框变体。
» 有关其他可信签名证书对话框的详细信息
要执行的操作:
- 验证对话框上显示的名称、发行者或位置信息。如果任何这些信息不匹配,建议您单击 Cancel(取消)。
| 对话框中显示的消息将根据应用程序所发出的以下请求而有所不同: | |
|---|---|
| 不受限制的访问权限(特权) | 此应用程序将使用不受限制的访问权限运行,这可能会使您的计算机和个人信息处于风险之中。只有在您信任该位置和发行者时才运行此应用程序。 |
| 受限制的访问权限(沙盒) | 此应用程序将使用受限制的访问权限运行,这样可保护您的计算机和个人信息。 |
没有证书的 Java 应用程序(未签名)
从 Java 7 Update 51 开始,如果应用程序没有证书(例如未签名应用程序)或缺少应用程序名称和发行者信息,默认情况下会被阻止。运行此类型的应用程序可能不安全并存在较高级别的风险。查找内容:
- 对话框标题:应用程序已被阻止或已阻止 Java 应用程序 (Java 8)
- 发行者名称:未列出发行者
- 消息标题:应用程序已被安全设置阻止或应用程序已被 Java 安全阻止 (Java 8)
- 消息:您的安全设置已阻止不可信应用程序运行
出于安全原因,应用程序现在必须满足“高”或“非常高”安全设置的要求或属于“例外站点”列表的一部分才能允许运行。(8u20 及更高版本)
.jpg)
要执行的操作:
强烈建议不要运行此类型的应用程序。但是,如果您了解风险且仍想运行应用程序,则可以将此应用程序的 URL 添加到“例外站点”列表,该列表位于 Java 控制面板的“安全”选项卡下。将此应用程序 URL 添加到该列表将允许它在显示某些安全警告后运行。
» 如何管理和配置“例外站点”列表
具有来自可信颁发机构的过期证书的 Java 应用程序
由于发行者尚未续订其证书,因此该类型的应用程序可能具有中等级别的风险。查找内容:
- 对话框标题:应用程序已被阻止或已阻止 Java 应用程序 (Java 8)
- 消息标题:应用程序已被安全设置阻止或应用程序已被 Java 安全阻止 (Java 8)
- 警告:您的安全设置已阻止使用已过期或尚未生效的证书进行签名的应用程序运行
出于安全原因,应用程序现在必须满足“高”或“非常高”安全设置的要求或属于“例外站点”列表的一部分才能允许运行。(8u20 及更高版本)
.jpg)
运行早期 Java 版本时,可能会显示此对话框的变体。
要执行的操作:
强烈建议不要运行此类型的应用程序。但是,如果您了解风险且仍想运行应用程序,则可以将此应用程序的 URL 添加到“例外站点”列表,该列表位于 Java 控制面板的“安全”选项卡下。将此应用程序 URL 添加到该列表将允许它在显示某些安全警告后运行。
» 如何管理和配置“例外站点”列表
| 对话框中显示的消息将根据应用程序所发出的以下请求而有所不同: | |
|---|---|
| 不受限制的访问权限(特权) | 此应用程序将使用不受限制的访问权限运行,这可能会使您的计算机和个人信息处于风险之中。提供的信息不可靠或者未知,因此除非您熟悉其来源,否则建议不要运行此应用程序 |
| 受限制的访问权限(沙盒) | 此应用程序将使用受限制的访问权限运行,这样可保护您的计算机和个人信息。 |
具有来自不可信来源的证书的 Java 应用程序
从 Java 7 Update 51 开始,具有自签名证书的应用程序默认情况下会被阻止。此类型的应用程序具有最高级别的风险,因为发行者无法识别,并且可能会授予应用程序访问您计算机上的个人数据的权限。
要查找的内容:- 对话框标题:应用程序已被阻止或已阻止 Java 应用程序 (Java 8)
- 发行者名称:未列出发行者
- 消息标题:应用程序已被安全设置阻止或应用程序已被 Java 安全阻止 (Java 8)
- 显示的消息:您的安全设置已阻止自签名的应用程序运行
出于安全原因,应用程序现在必须满足“高”或“非常高”安全设置的要求或属于“例外站点”列表的一部分才能允许运行。(8u20 及更高版本)
.jpg)
要执行的操作:
强烈建议不要运行此类型的应用程序。但是,如果您了解风险且仍想运行应用程序,则可以将此应用程序的 URL 添加到“例外站点”列表,该列表位于 Java 控制面板的“安全”选项卡下。将此应用程序 URL 添加到该列表将允许它在显示某些安全警告后运行。
» 如何管理和配置“例外站点”列表
Java 应用程序的撤销检查
自 Java 7u25 起,在尝试启动任何 Java 应用程序之前,系统将根据证书颁发机构使用证书撤销列表 (CRL) 和联机证书状态协议 (OCSP) 验证签名证书,以确保证书颁发机构尚未撤销用于对应用程序签名的证书。此功能将保护最终用户系统免受恶意开发人员的侵害,在过去,恶意开发人员使用被盗证书或非法购买的证书对应用程序签名。在运行带有 Java 7u25(及更高版本)的任何 Web 部署应用程序之前,系统会尝试连接证书颁发机构以检查撤销状态,帮助阻止被盗或已受侵害的证书。
查找内容:
撤销检查可根据检查情况返回不同消息:
- 已撤销证书
- 无法验证证书
- 无法连接到证书颁发机构
已撤销证书。将不会执行应用程序。
当使用证书颁发机构 (CA) 已撤销的证书运行应用程序时,会显示此对话框。此情况具有最高级别的风险。由于应用程序可能来自恶意源,因此将不会执行此应用程序。.jpg)
无法验证证书。将不会执行应用程序。
当使用证书颁发机构 (CA) 无法验证的证书运行应用程序时,会显示此对话框。如果在 Java 控制面板中将安全级别设置为“非常高”,并且无法验证证书,则会显示此对话框。
无法连接到证书颁发机构
当发生网络故障,并且无法访问证书颁发机构 (CA) 以验证证书时,会显示此对话框。在这种情况下,由于其操作受到限制,因此通常可以安全地运行应用程序,但仍可能具有中等级别的风险。如果您对访问的站点的发行者感到陌生,建议您单击“取消”。» 用于从 Java 控制面板中配置撤销设置的选项的相关详细信息。
详细技术信息
- 有关安全提示的详细信息,请参见代码签名常见问题。
- 开发人员和系统管理员应查看 Java 小应用程序和 Web Start 代码签名文章。(OTN)