开发人员 - 浏览器中的 Java 内容 - 安全清单更改

本文适用于:
  • 平台: 所有平台
  • Java 版本: 7.0, 8.0

开发人员:从 7u51 开始(2014 年 1 月),必须更新您的富 Internet 应用程序(RIA,也称为小应用程序和 Web Start 应用程序)。需要更新的内容是打包和分发;不需要 API 代码更改。这些更改的原因与可能改变沙盒应用程序的用途相关,通过在签名 JAR 中放置权限可防止修改您指定的权限级别。
RIA 必须包含两项:

  1. 来自可信颁发机构的代码签名。小应用程序和 Web Start 应用程序的所有代码必须进行签名,不论其权限属性如何。
  2. 清单属性
    1. 权限 - 在 7u25 中引入,从 7u51 开始是必需的。指示 RIA 应在沙盒中运行还是需要完整权限。
    2. 代码库 - 在 7u25 中引入,从 7u51 开始是可选/推荐的。指向托管代码的已知位置。

有关详细信息,请参阅 Java 平台组产品管理博客

 Java 7 Update 45 (7u45),2013 年 10 月:LiveConnect 调用将先询问权限,然后再与富 Internet 应用程序交互
  • 系统将提示用户针对通过 JavaScript LiveConnect 与 Java 应用程序交互的 Web 页面(域)授予权限。
  • 开发人员应添加清单属性 Caller-Allowable-Codebase 以标识位置,JavaScript 代码可从该位置调用应用程序中的方法
 Java 7 Update 40 (7u40),2013 年 9 月:系统管理员可以将其管理的桌面中的应用程序列入白名单
  • 系统管理员可以使用部署规则集将特定 Java 应用程序列入白名单以在用户的计算机上运行。系统管理员可以参阅部署规则集文档,或者通过部署规则集示例开始着手。
Java 7 Update 21 (7u21),2013 年 4 月:通过浏览器(包括小应用程序和应用程序)访问的所有 Java 内容都将在开始运行之前要求提供权限。
  • 根据运行应用程序过程中涉及的风险因素,提示中包含的消息将有所不同。请参阅安全对话框常见问题以查看常见安全消息。
  • 在风险较低的情况下,会显示比较简单的消息,并且包含一个用于在下次访问应用程序时禁止显示这些消息的复选框。
  • 在风险较高的情况下(例如,在没有任何标识数字证书的情况下运行应用程序),将需要其他交互。
开发人员和系统管理员可能希望查看有关已签名代码更改的更多技术信息

这些更改有什么影响?

这些更改综合在一起,使得用户可以验证软件发行者并确认与应用程序的交互。使用代码签名证书使得 Java 可以提供有关应用程序供应商的准确信息,以帮助用户确定是否应运行该应用程序。

这些更改是否会中断正常运行的基于 Java 的应用程序?

我们介绍的更改不会中断正常运行的应用程序。但是,这些更改可能会提示您授予明确的权限,以便允许通过单击“运行”按钮来运行应用程序。这使您可以控制并阻止高风险应用程序在您的计算机上自动运行。

关注兼容性的系统管理员可以使用部署规则集功能在所管理的桌面上将特定富 Internet 应用程序列入白名单。

为什么在未签名应用程序的安全对话框中,找不到选择不再对此应用程序显示此消息的选项?

从 Java 7 Update 40 开始,不再提供选择不再对此应用程序显示此消息的选项。与先前的版本不同,用户无法隐藏未签名应用程序的安全对话框,另外,每次运行未签名的应用程序时,必须选择选项我接受风险并希望运行此应用程序

什么是证书颁发机构?

证书颁发机构是颁发数字证书的可信第三方,通常为商业企业。在验证组织或个人的身份之后向其颁发证书。将数字证书添加到计算机应用程序以验证该应用程序是否来自该证书的所有者。有关详细信息,请参阅 http://wikipedia.org/wiki/Certificate_authority

为什么这些更改对我非常重要?

浏览器中的 Java 是攻击者经常攻击的目标。2012 年,Java 7u10 引入了要求您明确允许运行 Java 应用程序的安全功能。此外,您还可以配置 Java 以便阻止运行任何不可信的应用程序。可信应用程序是包含证书颁发机构颁发的有效数字证书,因而可提供应用程序提供方身份的相关信息的应用程序。这些证书允许 Java 对由这些提供方创建的应用程序强制实施安全保障。

为确保在浏览器中运行 Java 应用程序的系统安全性而能执行的其他步骤是什么?

强烈鼓励 Java 用户、系统管理员和开发人员使用最新版本保持系统最新。Java 自动更新机制设计为使用最新安全修复使 Java 用户可以保持最新。

 如果您以前禁用了自动更新,请重新启用自动更新以确保系统上的 Java 安装最新、最安全。有关详细信息,请参阅 Java 6 自动更新到 Java 7 的常见问题
最终用户 Java - 帮助 (Java.com)
Java 控制面板中的安全级别设置
开发人员 Java 编程语言的 Java SE 安全性安全编码准则
针对安全性的 JAR 文件清单属性
Java SE 安全性文档
有关已签名代码更改的技术信息
企业 Oracle Java SE 支持为任务关键型应用程序提供全天候的电子邮件和电话支持
Oracle Java SE Advanced 和 Oracle Java SE Suite 产品提供可最大程度降低基于 Java 的 IT 环境的部署、监控和维护成本的企业功能。
系统管理员 用于将应用程序列入白名单的部署规则集
部署最佳实践
适用于系统管理员的 Java 插件指南
教程:Java SE 中的安全功能