RMI Signiertes Applet ohne Warnung?

[Imunar]

Hallo,

ich habe noch mal eine kleine Frage welche wahrscheinlich mit einer vierstelligen Antwort gelößt werden könnte, was ich nicht hoffe.

Und zwar, ich habe ein Applet, welches auf einem Server liegt und Befehle zur Kommunikation mit der dortigen Datenbank zur Verfügung stellt.

Damit die Clients drauf zu greifen können wurde das jar file (welches server und client enthält) signiert.

Wie üblich kommt dann natürlich beim ersten Start der Anwednung im Browser die Meldung:
"Warnung- Sicherheut:
Die digitale Signatur kann nicht von einer......"

Nun wird aber gewünscht, das die Meldung den Benutzern nicht angezeigt wird.
Ist dies überhaupt möglich oder muss dann eine Zertifikat der "großen" her damit diese Meldung nicht kommt?

Mit freundlichem Gruß
Imunar

 

[hansmueller]

Hallo,

meines Wissens nach muß da ein

Zertifikat der "großen" her

damit die Meldung nicht mehr kommt.

Oder der Benutzer macht einen Hacken in das Feld

Inhalten dieses Urhebers immer vertrauen.

Es gibt aber glaube ich noch die Möglichkeit, daß du dem Anwender eine Signatur deines Zertifikates zur Verfügung stellst. Diese muß er dann irgendwie importieren. (Über diese Methode habe ich mich noch nicht genauer informiert. Bin mir also nicht sicher, ob sie den gewünschten Effekt hat. Auch scheint sie recht umständlich zu sein.)

MfG
hansmueller

 

[Imunar]

Vielen Dank für die schnelle Antwort.

Wegen der Importieren. Genau das ist es ja, was nicht gewünscht wird.
Der User soll gar nichts anklicken müssen auch nicht beim ersten mal.

Also bleibt wohl wirklich nur eines der Großen ?

 

[hansmueller]

Ja, da wirst du nicht drum herum kommen.
(Aber bevor du Geld ausgibts, frage bei den Zertifikatsaussteller nach, ob bei deren Zertifikat ein Warnhinweis kommt. Meines Wissens nach sind aber schon von den Großen bereits entsprechende Daten in den Browsern integriert.)

Wir machen es nur mit einem selbsterstellten Zertifikat, da uns die Zertifizierungsstellen zu teuer sind.

Beispiele:
Code Signing Certificate for Sun Java® - Code Signing von VeriSign Deutschland GmbH
=> mindestens 400 USD

Code Signing certificates from Thawte
=> ab 300 USD

Jeweils pro Jahr.

Diese Zertifikate sind für die großen Zertifikatsaussteller praktisch eine Lizenz zum Gelddrucken.
Und dabei tun die Aussteller "nur" nachprüfen, ob man auch wirklich die Firma oder Person ist, die man vorgibt zu sein.

MfG
hansmueller

 

[ice-breaker]

google mal nach tucows und java code signing.

ich hatte zwar nie die Zeit mir die genauen Lizenzbedingungen durchzulesen, aber die resellen Java-CodeSigning-Zertifikate von ich meine thawte wirklich sehr sehr günstig.

Edit: hier stand einiges über günstige Java Zertifikate drinne (Cheapest Java Code Signing Certificate? (not self-signed) - Stack Overflow)

 

[Guest2]

Moin,

[..]Nun wird aber gewünscht, das die Meldung den Benutzern nicht angezeigt wird.
Ist dies überhaupt möglich[..]?

Imho nein. Es sei den Du arbeitest bei Sun.
Vgl. http://www.java-forum.org/deploymen...-starten-applets-hd-zugreifen.html#post628602

Wo ist denn das Problem wenn das Applet nicht signiert ist?

Gruß,
Fancy

 

[Imunar]

Das Problem wenn ich es nicht signiere,
dann komme ich nicht aus der Sandbox raus
und somit komme ich nicht per RMI auf den server.

Imu

 

[hansmueller]

Wenn das Zertifikat von einer vertrauenswürdigen CA ausgestellt wurde, ist die Warnung etwas freundlicher, aber weg kriegt man sie so nicht.

Das ist gut.:lol:
Und vielen Dank für den Link Fancy.
Dachte bisher immer, daß man nur so ein besonderes Zertifikat bräuchte, um den Warnhinweis weg zu bekommen. Da lag ich ja total falsch.

Tja, Imunar...
da bleibt dir wohl nichts anderes übrig die Sicherheitswarnung nicht mehr als User-Gängelung zu betrachten, sondern als modernes, sicheres und daher unumgängliches Sicherheits-Feature, welches sicherstellt, daß der Anwender die totale Kontrolle über seinen Rechner behält. (Das war jetzt etwas ironisch gemeint.)

MfG
hansmueller

 

[Imunar]

Ja in der Tat da werd ich wohl mich dem Tiger stellen müssen der das will

vielen Dank für die schnellen antworten!

Imu

 

[Guest2]

[..]und somit komme ich nicht per RMI auf den server.

Stimmt natürlich -> verdrängt.

Dann bleibt wohl wirklich nur signieren oder auf ein anderes Protokoll umsteigen, z.B. Hessian. (Das geht komplett über http und wenn der Server Hessian und das Applet hostet, gibt es keine Probleme mit der Sandbox - bietet aber auch etwas weniger als rmi)

[..]welches sicherstellt, daß der Anwender die totale Kontrolle über seinen Rechner behält. (Das war jetzt etwas ironisch gemeint.)

"Etwas" ist gut

(Werd schon immer ganz misstrauisch, wenn ich einem signierten Applet begegne, das von der oberflächlichen Funktion her eigentlich nicht signiert sein müsste )

Gruß,
Fancy

 

[uli_rzf]

Hallo,
ich muss mich auch darum kümmern, dass unsere Anwendung keine Sicherheitswarnungen von sich gibt.

Die Anwendungen war noch Java 1.4 jetzt ist sie nach 1.8 portiert und ich habe einige Dinge ergänzt, dass das Java Log keine Warnungen oder fehlende Einträge oder Persmissions anmeckert.
Übrig bleibt das einmalige Anklicken auf dem Dialog:
Möchten sie diese Anwendung ausführen.
Mit dem Häkchen "Für Anwendungen dieses Anbieters und aus diesem Speicherort nicht mehr anzeigen"
Wir benutzen ein selbstsigniertes Zertifikat.
Wie kann man hinbekommen, dass diese Meldung nicht mehr kommt, außer ein hoch offizielles Zertifikat zu benutzen.
Wir bewegen uns damit im Intranet der Firma.
Die Rechner werden mit einer Software betankt, die an entsprechender Stelle auch unter dem jeweiligen User Dateien ablegen oder manipulieren kann, Zertifiakte importieren kann.
Gruß
Uli

 

[truesoul]

Hallo uli_rzf,

hast du die Beiträge hier gelesen?
Wenn ja, dann solltest du die Antwort kennen

Grüße

 

[uli_rzf]

JA, ich habe den Beitrag gelesen, nur irgendwo muss das Häkchen des Dialoges sich hinterlegen, somit könnte mit der Verteilsoftware jeder Rechner passend vorbereitet werden.
Wenn ihr keine Idee habt, werde ich den Rechner halt monitoren und die passende Stelle heraussuchen, geht bestimmt.
Und wenn es Einträge in der Registry sind oder User bezogene Javadateien ......., man wirds irgendwie herausbekommen, oder jemand kennt diese Stelle.

 

[truesoul]

Hallo.

Es wäre in meinen Augen eine Sicherheitslücke, wenn man den Wert ändern könnte.
Dann könnte jede Anwendung, die ungewollt auf den Rechner installiert ist, den Browser so manipulieren das nicht signierte Zertifikate akzeptiert werden.

Wenn du die Möglichkeit dazu findest, wäre es Interessant wo und wie du es gefunden hast

Grüße

 

[uli_rzf]

Es gibt im Userverzeichnis die Datei:
"C:\Users\%%%%%%%\AppData\LocalLow\Sun\Java\Deployment\security\sandbox.certs"
Wenn in dieser Datei das Zertifikat steckt, ist der Haken bestätigt.

VG