¿Por qué Java me dice que mi applet contiene código firmado y no firmado?

Question

Mi applet Java firmado se ha estado ejecutando correctamente hasta la actualización de Java 19. Ahora, algunos de nuestros usuarios en Java Update 19 notifican un mensaje de seguridad de Java que indica que nuestro applet contiene código firmado y no firmado.

El proceso para crear nuestro applet es de la siguiente manera:

1. limpieza y construcción del proyecto del applet en NetBeans IDE.
2. Abra el archivo jar de Applet en WinRAR y agregue los archivos requeridos mysql JDBC driver .class al archivo jar.
3. Firme el archivo jar applet.

¿Puede alguien decirme cómo determinar qué código está firmado y qué código no está firmado en nuestro applet? ¿Hay alguna otra forma mejor de incluir el archivo jar del controlador JDBC de mysql en nuestro applet que no sea copiar el contenido del archivo jar en nuestro archivo jar applet?

Gracias

Answer 1

Algunas cosas para probar:

• Ir al panel de control del complemento Java ($ JAVA_HOME/bin/Panel de Control).
• Vaya a la pestaña Advanced.
• Expand Debug
• Comprobar Enable tracing, Enable logging y Show applet lifecycle exceptions
• Expand Java console
• Comprobar Show console
• Haga clic OK (o Close, dependiendo de su sistema operativo)

Cuando el applet carga el La consola de Java se abrirá. Haga clic en él e inmediatamente presione '5'. Registrará las jarras y las clases que se van a buscar para ejecutar su applet. En algún lugar de esto debería haber un mensaje que indique qué jarras o clases se consideran "sin firmar". Si lo pierde la primera vez, simplemente vuelva a cargar la ventana para volver a intentarlo.

Answer 2

La mezcla de confianza y código no confiable juntos es una vulnerabilidad que se ha fijado en el 6u19 (la liberación actual de la CPU/SSR en el momento de la escritura). See the docs. El bloqueo de la mezcla o el uso de un depurador debe mostrar dónde está el problema.

Answer 3

EDITAR: Debido a un error en Java 7 Update 45 no debe agregar Trusted-Library a su archivo de manifiesto. Simplemente agregue el nuevo atributo Caller-Allowable-Codebase. Consulte esta pregunta para obtener más información: Java applet manifest - Allow all Caller-Allowable-Codebase

Java 7 Update 21 se lanzó el 16 de abril de 2013 y provocó que nuestro applet comenzara a mostrar este cuadro de diálogo de advertencia. Por las notas de la versión: A partir de JDK 7u21, el código JavaScript que llama código dentro de un applet privilegiado se trata como código mixto y se generan cuadros de diálogo de advertencia si los archivos JAR firmados no están etiquetados con el atributo Trusted-Library.

Para solucionar este problema edite su manifiesto.mf archivo y añadir una línea como esta:

Trusted-Library: true 

Usted debe tener mucho cuidado antes de hacer esto, sin embargo. Si su applet firmado se puede invocar desde javascript, un usuario malintencionado puede potencialmente hacer cosas dañinas en las computadoras de sus usuarios.

Una forma rápida de proteger su applet es evitar que se ejecute en otros sitios web. Haga esto poniendo código en el método init() que se ve en getCodeBase().getHost() y arroja una excepción si no coincide con su sitio.

Java 7 Update 25 introduce otra forma de limitar los sitios donde se puede ejecutar su applet. Se puede establecer el atributo CODEBASE en el archivo de manifiesto de esta manera:

Codebase: test.example.com www.example.com 

Java 7 Actualización 45 (releated 16 de de octubre de 2013) introduce más cambios en el sistema de LiveConnect (Javascript-a-applet puente) que pueden causar otro aviso . Este artículo habla de los cambios 7u45: https://blogs.oracle.com/java-platform-group/entry/liveconnect_changes_in_7u45

Básicamente también querrá añadir lo siguiente a su archivo de manifiesto para evitar las indicaciones:

Caller-Allowable-Codebase: test.example.com www.example.com 

Si usted está vendiendo un producto que incluye un applet y usted no sabe en qué dominios puede implementarse puede completar * aquí.