2

我有一个 Java 小程序,它不需要任何特殊权限即可运行(即,它在沙箱中运行良好),但它希望用户输入一些敏感信息。因此,我希望用户能够验证小程序的来源。

然后我签署了小程序,一切似乎都正常工作。浏览器显然接受了签名;出于测试目的,我尝试执行 PrivilegedActions 并且一切正常。但是,浏览器不会通知用户浏览器已签名 - 从用户的角度来看,未签名和已签名的小程序版本看起来完全相同。

所以我的问题是:有没有办法指示浏览器向用户提供签名权限,或者类似的东西?

4

1 回答 1

2

首先,这不是签署 jar 的有效用法

您是否曾经忘记取消勾选始终信任复选框?

回到第一点,因为它非常重要。通过对 jar 签名,您将证书名称放入声称它是安全的声明中。请注意,安全比非恶意要广泛得多。如果在任何地方遇到任何代码已签名,则会弹出询问用户是否要授予完全本地用户访问权限的安全对话框。这并不意味着某些特定的像素集来自受信任的来源。

正确的做法是使用https。

于 2010-08-24T11:27:02.177 回答