Отличительные подписанные Java-апплеты

Question

Отличительные подписанные Java-апплеты

У меня есть Java-апплет, который не нуждается в каких-либо специальных привилегиях для запуска (т. Е. Он отлично работает в песочнице), но ожидает, что пользователь введет некоторую конфиденциальную информацию. Поэтому я бы хотел, чтобы пользователь мог проверить происхождение апплета.

Затем я подписал апплет, и все, кажется, работает правильно. Браузер, очевидно, принимает подпись; в тестовых целях я попытался выполнить PrivilegedActions, и все заработало. Однако браузер не информирует пользователя о том, что браузер подписан - с точки зрения пользователя, и неподписанные, и подписанные версии апплета выглядят абсолютно одинаково.

Итак, мой вопрос: есть ли способ дать браузеру указание предоставить права подписи пользователю или что-то подобное?

2

java user-interface security digital-signature signed-applet

Источник

user134596 24 авг '10 в 11:03

1 ответ

Решение

Другие вопросы по тегам java user-interface security digital-signature signed-applet

user4725 24 авг '10 в 11:27 2010-08-24 11:27 · Accepted Answer · 2010-08-24 11:27

Во-первых, это недопустимое использование для подписи фляги.

Вы когда-нибудь забывали снять флажок "всегда доверять"?

Вернуться к первому пункту, потому что это довольно важно. Подписывая флягу, вы помещаете название сертификата в утверждение, что это безопасно. Обратите внимание, что быть намного безопаснее, чем не быть злонамеренным. Диалоговое окно безопасности, которое спрашивает, хочет ли пользователь предоставить полный доступ локального пользователя, всплывает, если какой-либо код где-либо встречается, подписано. Это не значит, что какой-то конкретный набор пикселей взят из искаженного источника.

Правильный подход заключается в использовании https.