沙箱机制对Applet的安全性限制在浏览器或者appletviewer中运行远程主机上存放的Applet时,Java VM认为它是不可信任的,将其置于所谓sandbox的保护之下,在这样的情况下Applet的运行受到下面的限制 :
a) Applet不能读写客户端主机上的文件
b) Applet不能执行JCE/JCA中的addProvider操作
c) 在进行网络连接时Applet只能与提供它的服务器建立连接
d) Applet在事件捕获、读取系统信息等其他方面受到限制
e) 在Netscape浏览器中,不提供java.security.*的支持,在IE浏览器中对Applet的运行做了比appletviewer中更加高的限制
原来对Applet的上述安全限制只是常识性的掌握,直到最近在开发中遇到个小问题,才得以有机会去了解Applet的安全机制,在这里就不对
问题点:
客户端JRE1.6Update10的环境下,访问没有签名的Applet时,如果Applet中有弹出的对话框,对话框的右上角会有一个黄色的三角型安全警告(Icon的Tooltip是Java Applet),刚开始出现这个问题时是JRE的bug,但是最后在JRE1.6Update10的releasenote中发现了下面的一句话:
Unsigned Java Applet Window Change on Windows
On Windows, an unsigned applet that opens a new top level window has previously included a status banner on the bottom of the window to identify it as a "Java Applet Window". In 6u10, the banner has been replaced by a small triangular warning icon placed in the upper right corner. Hovering over the icon will provide the "Java Applet Window" message as a tooltip.
这Applet安全性的一部分,为了去掉这个“抢眼”的安全警告,总结出以下三种解决方法:
一:客户端引入对所有Applet都适用的policy文件。因为对所有的Applet都提高了权限,这样会让你的电脑“裸漏”在hack的眼皮底下。
二:服务器端对Applet进行数字签名。客户端在访问签名的Applet时,因为无法对该签名进行认证,会弹出一个警告对话框,选择执行按钮,这样这个签名的Applet就有了更多的权限。
三:服务器端对Applet进行签名,客户端引入只针对该Applet的policy文件,这样既避免了“裸漏”这种不光彩事情的发生,也不会像第二种方法在访问时,被人掏出黄牌警告。
具体如何去做policy文件和对Applet进行签名,网络上有很多这样的资料,在这里就不具体说明,还有一点,如果使用JDK自带的工具的话,最好看一下JDK的文档工具的使用这一章,里面介绍的最全,也最权威!
1337
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
