問題タブ [security-warning]

社内の自己署名アプレットで恐ろしい LiveConnect 警告が表示されます。Java 1.7.0_45 を使用しています。私が読んだことによると、マニフェストに Caller-Allowable-Codebase * を追加し、Trusted-Library 属性を削除することで、これらを取り除くことができるはずです。アプレットを構築するための私の ant ターゲットは次のようになります。

残念ながら、これは効果がありません。まだ警告が表示されます。1.7.0_45 を実行していること、およびブラウザがキャッシュされた古いアプレットのコピーを使用していないことを確認しました。クライアントは、OS X 10.7.5 で実行されている Firefox 25.0 です。

残念ながら、アプリケーションがロード済みの署名付き jar マニフェストにアクセスする必要がある場合、7 update 45 の問題を回避するために Oracle および他のユーザーが提供する回避策 ( Java アプレット マニフェスト - すべての Caller-Allowable-Codebase を許可する) は機能しません。私の場合、アプリは関連するマニフェスト情報をログに記録するためにこれを行います。

私の Web Start アプリでは、7u21 用に追加する必要がある「Trusted-Library」属性を使用して、すべてがうまく機能しました。7u45 では、「Trusted-Library」属性を削除し、他の回避策で説明されているすべての追加属性を追加しても機能しません。Trusted-Library 属性なしで 7u21 を実行した場合と同じ警告が表示されます (アプリケーションに署名済みコードと未署名コードの両方が含まれていることを示す):

私は可能な限りすべてのマニフェスト/JNLP 順列を試しましたが、完璧なものは何もありません。

私が見つけたのは、基本的に、アプレットの jar マニフェスト (JRE jar ではない) の 1 つをロードし、hasMoreElements を呼び出すと、警告をトリガーする追加のセキュリティ チェックが発生することです。

これは、最大トレースで Java コンソールに出力されるものです。

これを理解するのに永遠にかかりました。なぜなら、何らかの理由で、起動プロセスの早い段階でセキュリティチェックに合格し、その後アクセスされて不平を言われる署名付きマニフェストがマニフェストについて不平を言っているとは思わないからです。むしろ、マニフェストによって参照されるリソースです。図に行く！

Java ソース コードを調べると、警告が発生する可能性がある理由がわかります (hasMoreElements は、より多くのセキュリティ チェックにつながります)。

はい、マニフェストは適切に署名されています! はい、マニフェストには適切な属性があります! 実際、これは、マニフェストに直接アクセスしようとしない限り、jar が正常にロードされて実行されるという事実によって証明されています。ただし、懸念を和らげるために、関連するマニフェスト属性を次に示します (以下の属性の多くの追加/削除を試みました)。

問題は、マニフェストにアクセスしようとしたときに警告が発生する必要があるかどうかです。現状では、ユーザーに毎回警告を強制的に表示するか、署名済みの jar マニフェスト情報のログを削除するかのいずれかを選択する必要があります。特に、このマニフェスト情報は問題のデバッグに非常に役立つため、エンドユーザーが正しいバージョンのアプリを実行していることを確認する唯一の方法であるため (オンサイトでの直接の物理的な検査を除く)、悪い選択のように思えます。jar は (アプレットにアクセスするための対応する JavaScript と共に) クライアント システムにキャッシュされることが許可されているため、これはアプレットに特に当てはまります。ログの情報は、将来大きな頭痛の種になる可能性があります。

何か案は？Oracle は Trusted-Library の問題をいずれにせよ修正しようとしているので、これは特に苛立たしいことです。そのため、このすべての調査作業をこれに費やすことは、私の週末を無駄にすることに他ならないかもしれません。ぐぅ……

編集:私が観察したことの 1 つは、セキュリティ例外に遭遇した最初の jar が、実際にはアプリ内の別の jar に依存していたことです。「依存する jar のマニフェストを最初に読み込む必要があるのではないか」と考えました。そのため、依存しないjarが最初にロードされるように、ロード順序を強制しました。最終結果？非依存の jar が最初にセキュリティ例外をスローしたことがわかりました...そしてまだ警告があります。

私が働いている会社には、クライアント マシンへの特別なアクセスを必要とするアプレットがあるため、すべての Jar ファイルはデジタル署名されています。アプレットと会社の Web アプリケーションは、javascript を使用して通信します。

問題は、javascript を介してアプレットを初めて使用するときに、Web サイトからアプレットへのアクセスを「許可」または「許可しない」ようにユーザーに求める警告セキュリティ ポップアップが Java によってスローされることです。

オラクルのガイドでアプレットのマニフェスト パラメータへのデジタル署名を確認しましたが、セキュリティ警告を削除できません。また、アプリケーションをテストするたびに、Java コントロール パネルを介してブラウザのキャッシュと Java キャッシュをクリアします。Windows 7および8で動作します。

メイン アプレットの jar 内のマニフェスト ファイルのサンプルを次に示します。

アプレットのデプロイに使用される JNLP ファイルのサンプルを次に示します。

また、署名済みの各 jar ファイルには、次の 2 つの特別なフォルダーとファイルが含まれています。

デジタル署名は、CA が承認した有効な証明書を使用して行われるため、問題が証明書にあるのではないことはほぼ確実です。

以下は、警告セキュリティ メッセージのスクリーンショットです。

ご清聴ありがとうございました。

システムの 1 つでjzebra署名付きバージョンを使用してラベルを印刷しています。

Windows XP マシンでアプレットがロードされないという問題がありました。Javaのバージョンを確認すると古い(7u45)ので、7u55に更新しました。

現在、そのシステムで奇妙な問題が発生し始めています。

ラベルを印刷しようとすると、このメッセージが表示されます。

ご覧のとおり、警告は完全ではありません。Java Application Aboveが示されていますが、上記の情報はありません。

私はすでに試しました

セキュリティを中に設定し、

例外に URL を追加し、

enable-hide 警告を設定し、混合モードで保護して実行する

win7 マシンでは問題ありません。

私のアプリケーションにとって非常に重要なため、これに対する解決策はありますか?

私のアプリケーションは、Java アプレット ビューアーを使用してドキュメントを表示し、Java6 で完全に動作します。Java7 以降のバージョンでは、アプレットがドキュメントの読み込みに失敗しているため、ドキュメントを表示できません。私が使用している属性を以下に示します。必要な変更がある場合は、誰でも私に提案してもらえますか

ANT スクリプト:

Java コンソール出力:

WebBrowser コントロールを備えた Windows フォーム デスクトップ アプリケーションがあります。サーバー上のディレクトリに移動して、webBrowser1.Navigate(new Uri("\\\\srvername\\share\\directory\\"))ユーザーがそのディレクトリからファイルを開くことができるようにします。

ファイルをダブルクリックすると、毎回 Windows セキュリティ メッセージが表示されます。

[OK] をクリックすると、必要に応じてファイルが開きます。

ローカル ディレクトリへの移動を設定するとwebBrowser1.Navigate(new Uri("C:\\Temp\\"));、メッセージが表示されません。

これが表示されないようにするプログラム的な方法はありますか、それとも信頼できるサイトとしてブラウザに追加する必要がありますか? ネットワークの標準ユーザーには、信頼済みサイトを追加するためのアクセス権がありません。IE のローカル イントラネット セクションにある [すべてのネットワーク パス UNC を含める] を確認しようとしました。

私が試してみました

しかし、コントロールに表示された Web ページからスクリプト エラーが発生することを意図しているように見えるため、これは機能しません。

イオン プロジェクトで openFB ライブラリを使用しています。私の設定は次のとおりです。

ionic バージョン: 1.7.12 cordova-version: 6.0.0 openFB バージョン: (最新のコミット)

ブラウザでアプリを実行すると、すべて正常に動作します。

私の電話（android 5.0）に問題があります。アプリを起動するとき (deviceready イベントで)、window.open = cordova.InAppBrowser.open を実行します。

ログインしようとすると、FB ログイン ページが開き、資格情報を入力して [ログイン] をクリックします。

応答は Facebook ページ ( https://www.facebook.com/connect/blank.html# = ) で次のように述べています。

成功のセキュリティ警告: 上記の URL をパスワードと同じように扱い、誰とも共有しないでください。詳細については、Facebook ヘルプ センターを参照してください。

FB ログイン ウィンドウが閉じません。

openFB eventListener 'loginWindow_loadStartHandler' が起動しなかったようです。

何か案は？

Firefox で「セキュリティ警告」ポップアップ ボックスが表示されます。

PythonとSeleniumを使用しています

助言がありますか？