Éviter de sécurité de blocage au niveau de sans ajouter une url dans la liste des sites d'exception
J'ai créé Java signed applet
, il fonctionne parfaitement si j'ai mis mon Java(JRE 8) le niveau de sécurité haute et d'ajouter ma url du site dans site d'exception de la liste.
Mais si nous n'avons pas d'ajouter l'url du site dans le site d'exception de la liste, la sécurité de java exception, comme expliqué ici : ajouter une url dans la liste des sites d'exception
J'ai créé une applet signée à l'aide d'une troisième partie de certificat.
Voici mon fichier de manifeste après la création d'une applet signée:
Est-il une option disponible pour éviter ces sécurité de blocage de popups par l'ajout de certains changements dans le fichier de manifeste lors de la création applet signé, ou un script, un code java pour éviter ces popups sans l'ajout de l'url du site dans le site d'exception de la liste?
Ou est-il vraiment obligatoire à partir de Java que nous doit avoir besoin d'ajouter l'url du site dans le site d'exception de la liste pour éviter une telle erreur de blocage.
, Fondamentalement, est-il une option disponible pour ajouter l'url dans un site d'exception dans le fichier de manifeste ou de tout code Java ?
Est-il obligatoire si je veux signer mon applet à l'aide du certificat signé alors il doit être un certificat de signature de code? wildcard ssl ou certificat ne fonctionnera pas?
Que je suis auto-signé de l'applet bloc de problème si j'ai signé mon applet avec certificat wildcard.
Andrew posé la bonne question: Ce certificat vous utilisez pour vous connecter à votre applet? Est l'autorité de certification racine de l'émetteur en partie du JDK certificats?
Vous dites que vous êtes en train d'ajouter le manifeste, mais je ne la vois pas. Et qui exact popup vous souhaitez bloquer? Peut-on avoir une capture d'écran de sorte qu'il est plus clair de quoi nous parlons?
qui CA utilisez-vous? et quel type de certificat?
Dommage que les points de prime n'est pas à gagner.
OriginalL'auteur Java | 2014-12-19
Vous devez vous connecter pour publier un commentaire.
Votre demande sera considérée comme auto-signé parce que vous avez signé avec un certificat qui n'est pas prévu pour la signature de code. Auto-signé applications sont bloquées avec ce méchant-à la recherche contextuelle:
Vous pouvez éviter ce message, si vous vous connectez à l'aide d'un certificat de signature de code qui est signé par une autorité de certification de confiance. Ensuite, l'utilisateur recevra une façon plus agréable à la recherche de dialogue de confirmation indiquant votre nom comme l'éditeur de l'application:
Voir aussi l'Oracle de la documentation sur les boîtes de dialogue de sécurité pour une description des boîtes de dialogue et pourquoi et quand ils apparaissent.
Prendre un coup d'oeil à la documentation sur de travail Signé avec RIAs, en particulier 23.2 "la Signature de RIAs", pour plus d'informations sur la façon de créer un certificat de signature de code pour signer votre applet.
Un deuxième lien sympa est http://www.oracle.com/technetwork/java/javase/tech/java-code-signing-1915323.html#5
--UPDATE--
Ce que fait exactement un certificat d'un Certificat de Signature de Code?
X. 509 certificats peuvent inclure l'utilisation de la clé des champs (KU) et étendu l'utilisation de la clé des champs (EKU). Ces champs, lorsqu'ils sont présents, restreindre de la validité de l'utilisation du certificat. Le plugin java vérifie la présence de ces champs.
J'ai trouvé le code source de la EndEntityChecker qui effectue cette vérification.
La case présentation des méthodes comme suit:
Notez que si aucun KU ou EKU est spécifié, le KU ou EKU vérificateur renvoie la valeur true. Mais si KU sont spécifiés, la signature numérique KU devrait être l'un d'entre eux. De même, si tout EKU sont spécifiés, soit la EKU de signature de code (identifiée par un oid 1.3.6.1.5.5.7.3.3) ou la EKU toute utilisation (identifiée par un oid 2.5.29.37.0) doit être spécifié en tant que bien.
Enfin, la
checkRemainingExtensions
méthode rechigne quand il rencontre d'autres critiques EKU.Donc je pense que votre certificat SSL wildcard spécifie au moins un EKU qui n'est pas de signature de code et, par conséquent, n'est pas reconnu comme valide d'un certificat de signature de code par le plugin java.
Est votre applet signée(signé par une autorité de certification) s'exécute toujours avec succès, sans ajout d'url dans le site d'exception de la liste & java par défaut la priorité(haute)?
"application bloquée" est la mauvaise popup utilisateur obtient pour l'auto-signé de l'applet. "Voulez-vous exécuter cette application?" est normal instructif dialogue que l'utilisateur obtient pour correctement applet signée. Ce pop-up est une caractéristique et ne peut pas être empêché par le code. Mais Utilisateur peut choisir de le désactiver en cochant la case.
En fait, je suis ok avec la normale instructif boîtes de dialogue comme
do you wan to run this application
ou pop-up que vous avez indiqué ci-dessus. La seule chose c'est que je veux exécuter mon applet sans ajouter mon url de l'application dans le site d'exception de la liste. Est-il de toute façon ?Oui, c'est ce qui se passe pour bien signé des applets qui sont pas à l'exception du site de la liste, de java sous haute sécurité. Voir pour vous-même, ma capture d'écran a été prise sur docs.oracle.com/javase/tutorial/deployment/applet/...
OriginalL'auteur flup
Fondamentalement, oui. Fin les utilisateurs peuvent désactiver l'securoty de pop-up, mais vous ne pouvez pas le faire par le biais de l'application. Si vous regardez la documentation d'Oracle "En évitant de sécurité des boîtes de dialogue". Il est clairement indiqué que le securoty popup est un comportement attendu :
Et si vous lisez les options pour éviter le popup vous allez voir qu'ils impliquent de modifier quelque chose sur la fin les utilisateurs de l'ordinateur.
Voici les options (cité de "En évitant de sécurité des boîtes de dialogue"):
Utilisateur accepte le certificat utilisé pour signer le formulaire de demande et sélectionne la case Toujours faire confiance au contenu provenant de cet éditeur. Alors la prochaine fois les autorisations seront accordées à cette application automatiquement (jusqu'à ce que le certificat expire ou est retiré de la confiance du magasin de clés).
Le certificat peut être importés manuellement dans la JRE magasin de certificats de confiance. Pour importer le certificat à l'aide du Panneau de configuration Java, sélectionnez l'onglet Sécurité et sélectionnez Certificats > Certificats Approuvés. Pour importer un certificat dans le magasin de certificats à partir de la ligne de commande, utilisez l'utilitaire keytool (dans le dossier bin du JRE).
Subvention AllPermissions dans la Java de la politique de fichiers situés dans ${user.home}/.java.la politique, ou point de Java fichier de stratégie qui a AllPermissions dans le $(JRE_HOME)/lib/security/java.fichier de sécurité. Des autorisations peuvent être accordées à toutes les applications ou les restreint à une URL particulière. Voir par Défaut de l'Application de la Politique et de la Politique de Syntaxe du Fichier pour plus de détails .java.politique.
Il ne sera pas possible ou il sera très dangereux fonctionnalité. En gros, si une application peut contourner la sécurité elle-même il n'y a pas plus de sécurité!
oui c'est vrai ,ce n'est pas encore un moyen formel de contourner la sécurité de java.En fait, comme par @Andrea, j'ai aussi essayé d'ajouter des propriétés données dans le fichier de manifeste, mais encore il bloque l'application.
Les trois options sont énumérées dans le lien dans ma réponse. Ni de leur proposer de le faire par code ou script, ou manifester.
OriginalL'auteur alain.janinm
Essayez de modifier manifeste, en ajoutant le nom de votre serveur en appelant admissibles à base de code. Probablement vous n'avez pas besoin d'ajouter l'url de votre site dans plus exceptionnels
Mise à JOUR:
Ceci est un exemple de mon manisfest fichier:
J'ai essayé d'ajouter un Appelant Admissibles à base de Code:myservername, je n'ai pas ajouté dans mon manifeste,le reste des choses que j'ai déjà ajouté dans mon manifeste,mais encore sa en me montrant d'erreur comme "Vos paramètres de sécurité ont bloqué une auto-signé de l'application à partir de l'exécution"
Je suis en train de tester cette application sur Java 1.7.0._71. Et si u voir que l'erreur, sa en disant auto-signé de l'application ont été bloqués.Mais j'ai créé applet signée avec la troisième partie de la demande de certificat.Alors pourquoi sa me montrant cette erreur?
OriginalL'auteur Andrea Baglioni
Après avoir un codesigner, ce twicks en mai manifeste de faire qui fonctionne:
Un détail sur la fin de http://yourIp:yourPort/- de mettre le "/-" pour arriver à tous de votre site...
OriginalL'auteur Luiz Frederico Jr