それとも、署名されたアプレットは、特定のドメイン (つまり、CA ID 検証の一部として使用したドメイン) からダウンロードされた場合にのみ関連付けられ、署名されていると見なされますか?
私の状況: 私はアプレットを作成しました。これはツールとしてダウンロードできるので、他のユーザーが自分の Web サイトで使用できるようになっています。人々は私の Web サイトでアプレットを使用するのではなく、zip としてダウンロードして Web サイトでホストしています。(明らかに、私のアプリは開発者や HTML に精通した開発者を対象としています)。これまでアプレットは署名されていませんでしたが、オラクルは署名されていないアプレットを最後の更新で本質的に削除したため、署名することを検討しています。しかし、アプレットが自分の Web サイトで使用され、他の Web サイトでは使用されていない場合にのみ署名が有効であることが判明するまで、署名に手間と費用をかけたくありません。
明確化のために編集: 自己署名するつもりはありません。CAを利用しようと思っています。
はい。セキュリティ レベルによっては、自己署名の場合に警告が表示される場合があります。信頼できる機関によって署名されている場合、警告はありません。
答えは、実際には修飾された「はい」です。
Missing Codebase manifest attribute for:xxx.jarCodebaseは、最近のセキュリティ更新で、Jar のマニフェストに属性が欠落している場合に警告を生成するように変更が導入されたことを警告します。
セキュリティのための JAR ファイル マニフェスト属性:Codebase属性は詳細に入ります。
Codebase 属性は、JAR ファイルのコード ベースを特定のドメインに制限するために使用されます。この属性を使用して、誰かが悪意のある目的でアプリケーションを別の Web サイトに再デプロイするのを防ぎます。
注: Codebase 属性で HTTPS などの安全なサーバーが指定されていない場合、中間者 (MITM) 攻撃スキームでコードが転用されるリスクがあります。
この属性を、アプリケーションの JAR ファイルがあるドメイン名または IP アドレスに設定します。ポート番号を含めることもできます。複数の場所の場合は、値をスペースで区切ります。アスタリスク (*)は、ドメイン名の先頭にのみワイルドカードとして使用できます。次の表は、サンプル値とそれらが一致するものを示しています。
Codebaseそのことから、属性を追加してクライアントの警告を抑制することができると推測していますが、それはクライアントがサイトの特定の場所にアプレットをデプロイした場合のみです。
クライアントがあなたのサイトのアプレットに単純に「ホットリンク」できるかどうかはわかりません。私がセキュリティの専門家ではないという事実を考えると、それが悪用されるための難解な方法があるとほとんど予想できます。
最近のセキュリティの強化を考えると、オラクルがアプリケーションの前に HTTPS サーバーを指定することを決定したとしても、私は驚かないでしょう。プラグインのセキュリティを危険なレベルまで下げることなく起動し、サイト間で使用できるのは拡張機能のみ (メインのアプリ/アプレットではない) です。