2

実行するのに特別な権限を必要としない (つまり、サンドボックスで正常に動作する) Java アプレットがありますが、ユーザーが機密情報を入力する必要があります。したがって、ユーザーがアプレットの出所を確認できるようにしてほしいと思います。

その後、アプレットに署名したところ、すべてが正しく機能しているようです。ブラウザは明らかに署名を受け入れます。テスト目的で、PrivilegedActions を実行してみましたが、すべてうまくいきました。ただし、ブラウザーは、ブラウザーが署名されていることをユーザーに通知しません。ユーザーの観点からは、アプレットの未署名バージョンと署名済みバージョンの両方がまったく同じに見えます。

私の質問は次のとおりです。ブラウザに署名機関をユーザーに提示するように指示する方法はありますか、または同様のものはありますか?

4

1 に答える 1

2

まず、これは jar に署名するための有効な使用法ではありません

ある時点で、常に信頼するチェックボックスのチェックを外すのを忘れたことはありませんか?

かなり重要なので最初のポイントに戻ります。jar に署名することで、証明書の名前を安全であると主張することになります。安全であることは、悪意がないことよりもはるかに広いことに注意してください。いずれかのコードが署名されている場合、ユーザーが完全なローカル ユーザー アクセスを許可するかどうかを確認するセキュリティ ダイアログが表示されます。特定のピクセル セットが信頼できるソースからのものであるとは限りません。

正しいアプローチは、https を使用することです。

于 2010-08-24T11:27:02.177 に答える