3

最新の Java 更新 (7u11) の後、私のアプレットが Firefox のページにロードされるたびに、実際にはアプレットがいかなる種類の個人情報にもアクセスできないにもかかわらず、大きなセキュリティ警告を表示してアプリケーションを実行できるようにする必要があります。

IE では、この警告が 1 回スパムとして表示されますが、[常に許可] をクリックすると、スパムは表示されなくなります。Firefox では、「常に許可」をクリックしても、離れて戻ってくるたびに再度プロンプトが表示されます。潜在的なユーザーを怖がらせて遠ざけることが心配です。

アプレットは、Web サーバーと同じサーバー/IP でホストされているデーモンへのネットワーク接続を作成します。(今のところポート 4444)。以前は、これはセキュリティ違反ではありませんでしたが、現在ではセキュリティ違反であり、承認する必要があります。

アプレットは常に変化する情報 (価格、時間など) をクライアントに送信します。データが正しく表示されるためには、サーバーとのライブ接続を維持する必要があります。クライアントは限られた量のデータを送信します (基本的に、表示する情報を決定するための自己設計プロトコル)。アプレットは、システム上の個人ファイルやその他の情報にはアクセスしません。このアプレットは、独自のリソース (.jar ファイルに含まれるもの) のみにアクセスし、ユーザーのハード ドライブ上のファイルにはアクセスしません。

余談ですが、javaをアップデートした後、アプレットでマイページにアクセスすると、「javaをインストールする必要があります」というエラーが表示されました。ダウンロードとインストールを選択すると、Java は既にインストールされていると表示されます。再インストールしますか? いいえと言うと、エラーが表示されます。再インストールすると、アプレットがロードされますが、すべてのセキュリティ要素が含まれています。

これには回避策が必要であることはわかっています。Yahoo ゲームと pogo ゲームは、Java 環境を使用してクライアント サーバー トラフィックを処理しますが、多くのセキュリティ警告は表示されません。唯一の違いは、yahoo と pogo が Swing または AWT を使用する JavaFX を私のアプレットが使用していることです。

4

1 に答える 1

4

Java 7u11 以降では、Java アプレットのデフォルトのセキュリティ レベルが中から高に変更されました。これにより、アプリケーションを Java 7u11 に対して実行すると、新しいセキュリティ警告が表示される場合があります。Java 7u11 リリース ノートから:

概要: デフォルトのセキュリティ レベル設定が高に変更され ました Java アプレットおよび Web Start アプリケーションのデフォルトのセキュリティ レベルが「中」から「高」に引き上げられました。これは、署名されていない (サンドボックス化された) Java Web アプリケーションを実行できる条件に影響します。以前は、最新の安全な Java リリースがインストールされている限り、アプレットと Web 開始アプリケーションは常に実行され続けていました。「高」に設定すると、サイレントエクスプロイトを防ぐために、署名されていないアプリケーションが実行される前に、ユーザーに常に警告が表示されます。

IMO によると、これは、Java の攻撃対象領域が大きすぎて、ユーザーが Java を実行する Web ページにアクセスしただけで、その Web ページが Java のパッチが適用されていない脆弱性を悪用するなど、ダウンロードによるドライブ攻撃を適切に防止できないことを Oracle が認めていることになります。 Java を使用してユーザーのシステムを侵害します。したがって、オラクルの対応は、ブラウザーで Java アプリケーションのセキュリティ レベルを上げて、ユーザーが最初に実行を続行することに同意しない限り実行できないようにすることです。多くの人は、これは一般的にインターネットにとって良いことだと言うでしょうが、セキュリティ警告ポップアップなしでユーザーに配信される署名されていない悪意のないアプリケーションに依存していた場合は望ましくありません.

Yahoo または Pogo のゲームでは、おそらくゲームが署名されていると考えられます。この場合、発行元からのゲームが初めて実行されるときに警告メッセージが表示されますが、ユーザーは発行元を常に信頼することを選択できます。その後、ユーザーが同じ発行元のアプレットにアクセスしたときに警告が表示されることはありません。必要に応じて、アプリケーションに対して同じことを行うことができます。

また、ユーザーにセキュリティ設定をデフォルトから下げるように要求することもできます (たとえば、高から中)。その後、署名されていないアプリケーションが実行されたときに警告メッセージは表示されませんが、Oracle がデフォルトのセキュリティ設定を正当な理由で中から高。

JavaFX と Swing または AWT アプレットの警告の動作に違いはないはずです。違いがある場合は、Oracle に報告する重大なバグになります。

Java のセキュリティ設定とは別に、個々のブラウザー ベンダーは、Java または Java のバージョンをブロックし、ユーザーに警告を表示することを選択できます。これらのブロック メッセージがさまざまなブラウザーでどのように見えるかのいくつかの画像は、無効な Java 警告の外観と Java Web Start アプリへの影響にあります (投稿名は Web Start アプリに言及していますが、投稿内の警告画像はアプレットに関連しています - それらのアプレットがSwing または JavaFX ベース)。

以下は、署名されていないアプリケーションに対して Java が生成する警告メッセージのサンプルです。この警告メッセージは、Mac OS X 10.8 でJava 7u11 を実行しているときに、 Oracle の java.com サイトで [Java の検証] ボタンをクリックすると生成されました。

セキュリティ警告

于 2013-01-28T05:51:22.190 に答える