Desenvolvedores, a partir da release janeiro de 2014 suas Rich Internet Applications deverão ser atualizadas.
25 de novembro de 2013As atualizações necessárias estão no pacote e distribuição; nenhuma alteração de código da API deve ser necessária.
A motivação para essas alterações se refere a uma potencial redefinição de finalidade de aplicações no sandbox, pela qual a alocação de permissões dentro de um JAR assinado impede a modificação do seu nível de permissão especificado.
As RIAs devem conter duas coisas:
Assinaturas de código de uma autoridade confiável. Todo código de Applets e aplicações Web Start deve ser assinado, independentemente de seus atributos de Permissions.
Atributos de Manifesto
Permissões – Introduzidas na release 7u25 e obrigatórias a partir da release 7u51. Indica se a RIA deveria ser executada dentro da sandbox ou exige permissões integrais.
Codebase – Introduzido na release 7u25 e opcional/incentivada a partir da release 7u51. Aponta para o local conhecido do código hospedado.
Consulte o blog do Gerenciamento de Produtos do Grupo Plataformas Java para obter mais informações.
Java 7 Update 45 (7u45), outubro de 2013: chamadas do LiveConnect pedirão permissão antes de interagir com Aplicações Rich Internet.
Será solicitado que os usuários concedam permissão para páginas Web (domínios) que interagem com aplicações por meio do JavaScript LiveConnect.
Os desenvolvedores devem adicionar o atributo Caller-Allowable-Codebase do Manifesto para identificar os locais dos quais o código JavaScript poderá chamar métodos na aplicação.
Java 7 Update 40 (7u40), setembro de 2013: os administradores de sistema podem colocar na lista branca aplicações em seus desktops gerenciados.
Os Administradores de Sistemas podem colocar na lista branca aplicações Java específicas a serem executadas nos computadores dos usuários usando Conjuntos de Regras de Implantação. Os Administradores de Sistemas podem consultar a documentação do Conjunto de Regras de Implantação ou começar com exemplos do Conjunto de Regras de Implantação.
Java 7 Update 21 (7u21), abril de 2013: todo o conteúdo Java acessado por meio do browser (inclusive Applets e Aplicações) solicitarão permissão antes de iniciar a execução.
A mensagem contida no prompt variará dependendo dos fatores de risco envolvidos na execução de uma aplicação. Consulte as Perguntas Mais Frequentes sobre Caixas de Diálogo de Segurança para analisar as mensagens de segurança comuns.
Os cenários de menor risco apresentam mensagens mais simples e contêm uma caixa de seleção para suprimir a exibição dessas mensagens na próxima vez em que a aplicação for acessada.
Os cenários de maior risco, como a execução de uma aplicação sem qualquer certificado digital de identificação, exigirá interação adicional.
Os desenvolvedores e administradores de sistemas desejarão analisar informações mais técnicas sobre as alterações do código assinado.
Que efeito têm essas alterações?
Quando consideradas em conjunto, essas alterações permitem que os usuários verifiquem o editor do software e confirmem a interação com a aplicação. O uso de certificados com assinatura de código permite que o Java apresente informações precisas sobre o fornecedor da aplicação para ajudar o usuário a decidir se ele deve executar a aplicação.
Essas alterações prejudicarão as aplicações baseadas em Java que executo normalmente?
As alterações que descrevemos não deverão prejudicar as aplicações que você executa normalmente. No entanto, pode ser que elas solicitem que você conceda permissão explícita para permitir a execução de uma aplicação clicando em um botão ‘Executar’. Isso dá a você o controle necessário para impedir que aplicações de alto risco sejam executadas automaticamente em seu computador.
Os Administradores de Sistemas preocupados com a compatibilidade podem usar afuncionalidade Conjunto de Regras de Implantação para colocar na lista branca Aplicações Rich Internet específicas de desktops gerenciados.
Por que eu não vejo a opção para selecionar Não mostrar novamente para esta aplicação no diálogo de segurança para uma aplicação não assinada?
Começando com o Java 7 Update 40, a opção para selecionar Não mostrar novamente para esta aplicação não está mais disponível. Diferentemente das versões anteriores, um usuário não pode suprimir o diálogo de segurança para uma aplicação não assinada e terá que selecionar a opção Eu aceito o risco e quero executar esta aplicação a cada vez para executar a aplicação não assinada.
O que é uma Autoridade de Certificadora?
Uma Autoridade de Certificadora é um terceiro confiável, geralmente um negócio comercial, que emite certificados digitais. Os certificados são emitidos para organizações ou indivíduos, depois da verificação de sua identidade. O certificado digital é adicionado às aplicações do computador para validar se a aplicação originou-se do proprietário do certificado. Para obter mais informações, consulte http://wikipedia.org/wiki/Certificate_authority.
Por que essas alterações são importantes para mim?
O Java no browser é um alvo popular de ataques. Em 2012, o Java 7u10 introduziu funcionalidades de segurança as quais exigem que você permita explicitamente a execução de aplicações Java. Você também pode configurar o Java para impedir a execução de qualquer aplicação que não seja confiável. Aplicações confiáveis são aquelas que incluem um certificado digital válido emitido por uma Autoridade de Certificação e que, consequentemente, fornecem informações sobre a identidade do provedor de aplicações. Esses certificados permitem que o Java aplique a proteção e a segurança das aplicações criadas por esses provedores.
Quais etapas adicionais posso executar para garantir a segurança de sistemas que executam aplicações Java no browser?
Os usuários do Java, administradores de sistema e desenvolvedores são muito encorajados a manter os sistemas atualizados com as versões mais recentes. O mecanismo de atualização automática do Java se destina a ajudar os usuários do Java atualizados com as correções de segurança mais recentes.
Se você tiver desativado anteriormente a atualização automática, reative-a para garantir que você tenha a instalação Java mais recente e mais segura no sistema. Consulte perguntas frequentes da atualização automática do Java 6 para o Java 7 para obter mais informações.
Usuários Finais | Java – Ajuda (Java.com) Definições do nível de segurança no Painel de Controle do Java |
Desenvolvedores | Diretrizes de Segurança para Codificação Segura do Java SE para a Linguagem de Programação Java Atributos do Manifesto do Arquivo JAR para Segurança Informações técnicas da Documentação de Segurança do Java SE 7 sobre a alteração do código assinado |
Enterprise | O Oracle Java SE Support fornece suporte por telefone e e-mail 24×7 para aplicações críticas Os produtos Oracle Java SE Advanced e Oracle Java SE Suite oferecem funcionalidades enterprise que minimizam os custos de implantação, monitoramento e manutenção dos ambientes de TI baseados em Java. |
Administrador do Sistema | Conjuntos de Regras de Implantação para colocar aplicações na lista branca Melhores Práticas de Implantação Java Plug-in Guide for System Administrators Tutorial: Security Features in Java SE |
Fonte: http://www.java.com
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.