6

还是仅在从特定域(即您用作 CA 身份验证的一部分的域)下载时才与已签名的小程序相关联并被视为已签名?

我的情况:我创建了一个小程序,作为工具提供下载,以便其他人可以在他们的网站上使用它。人们不会在我的网站上使用小程序,而是将其下载为 zip 并将其托管在他们的网站上。(很明显,我的应用程序是针对开发人员和那些精通 HTML 的人)。到目前为止,该小程序尚未签名,但是由于 Oracle 在最后一次更新中基本上杀死了未签名的小程序,因此我正在考虑对其进行签名。但是我不想费力地签署它,只是发现只有在我的网站上使用小程序而不是在其他网站上使用时,签名才有效。

编辑澄清:我不打算自签名。我打算使用 CA。

4

2 回答 2

4

是的。如果它是自签名的,您可能会收到警告,具体取决于您的安全级别。如果由受信任的权威机构签署,则不会发出警告。

于 2014-01-22T17:21:49.590 回答
2

答案实际上是一个合格的“是”。

Missing Codebase manifest attribute for:xxx.jarCodebase警告我们,在最近的安全更新中,引入了一项更改,如果Jar 的清单中缺少该属性,则会产生警告。

用于安全性的 JAR 文件清单属性:Codebase属性进入详细信息:

Codebase 属性用于将 JAR 文件的代码库限制为特定域。使用此属性可防止有人出于恶意目的在其他网站上重新部署您的应用程序。

注意:如果 Codebase 属性未指定安全服务器,例如 HTTPS,则存在一些风险,即您的代码可能会在中间人 (MITM) 攻击方案中被重新利用。

将此属性设置为应用程序的 JAR 文件所在的域名或 IP 地址。还可以包括端口号。对于多个位置,用空格分隔值。星号 (*) 只能用作域名开头的通配符。下表显示了示例值及其匹配项。

从那我猜你可以添加Codebase属性来抑制你的客户的警告,但前提是他们将小程序部署在他们网站上的特定位置。

我不确定客户是否可以简单地“热链接”到您站点上的小程序。鉴于我不是安全专家,我几乎预计会有一些神秘的方式被滥用。


鉴于最近的安全性收紧,如果 Oracle 决定在应用程序之前指定 HTTPS 服务器,我不会感到惊讶。将在不将插件的安全性降低到危险级别的情况下启动,并且只能跨站点使用扩展程序(不是主应用程序./applet)。

于 2014-01-22T19:48:41.977 回答