Java Applets und Java Web Start-Anwendungen starten - ab Java 7 Update 51
 |
Dieser Beitrag wird derzeit noch bearbeitet. Der Text ist deshalb unvollständig und kann Fehler oder ungeprüfte Aussagen enthalten. |
Inhaltsverzeichnis
Einleitung
Nachdem man in Java's Laufzeitumgebungen (JRE) der Versionen 6 und 7 mehrere Sicherheitslöcher gefunden hatte, die auch massiv ausgenutzt wurden, war Oracle in Zugzwang und führte radikale Veränderungen in den Sicherheitsmechanismen der JRE ein, die mit Java 7 Update 51 am 14. Januar 2014 veröffentlicht wurden.
Durch die Änderungen ergaben sich erhebliche Einschnitte bei der Ausführung von unsignierten sowie signierten Java-Applets durch standardmäßig höhere Sicherheitseinstellungen im Java Control Panel. Mit diesen Einstellungen haben Applets keine Möglichkeit mehr, ausgeführt zu werden. Eigentlich ein Todesstoß für die ohnehin seltenen Java-Applets im Internet. Doch was ist z.B. mit Applets in Unternehmensnetzwerken, Intranets usw. ?
Schauen wir uns als also an, welche Möglichkeiten wir nun haben, um Java-Applets wieder zum Laufen bekommen.
Der Istzustand
Unsignierte Java-Applets
Unsignierte Applets können standardmäßig nun nicht mehr ausgeführt werden. Die Sicherheitseinstellungen im Java Control Panel verhindern, dass unsignierter Java-Code auf dem Client-Rechner zur Ausführung kommt.
Signierte Java-Applets
Ausschließlich mit einem von kostenpflichtigen Authentifizierungsdiensten, wie bspw. Verisign (Symantec) oder Thawte, ausgestellten Zertifikat startet ein Java-Applet nun noch in der höchsten Sicherheitsstufe. Sie laufen außerhalb der Sandbox und erhalten erweiterte Rechte auf dem Client-Rechner, der alle Systemrechte des Clients einschließt.
Java Applets starten - ab Java 7 Update 51
Unsignierte Java-Applets
Ein unsigniertes Applet startet nun in den Standardsicherheitseinstellungen des Java Control Centers gar nicht mehr. Somit wird sichergestellt, dass potenziell schadhafter Code auf dem Client-Rechner nicht ausgeführt werden kann.
Möchte man dennoch ein unsigniertes Applet starten, sollte der Anwender genau wissen, was er macht.
Um ein unsigniertes Applet zu starten, ist die URL der anbietenden Webseite manuell in die White List (Liste, vom Anwender als "sauber" eingeschätzter Webseiten) einzutragen.
Beispielhaft sei hier im Folgenden die Schrittfolge beschrieben:
1. Java Control Panel öffnen
In der Systemsteuerung doppelklicken wir das Java-Icon. Daraufhin öffnet sich das Java Control Panel.
2. Java aktivieren
Sollte der Haken bei Java-Content im Browser aktivieren noch nicht gesetzt sein, aktivieren wir Java im Browser, in dem wir hier den Haken nun setzen.
3. Aktivierung des Java-PlugIn bestätigen
Wenn wir nun den Anwenden- oder OK-Button klicken fordert uns das Java Control Panel nun auf, die Aktivierung des Java-PlugIns zu bestätigen.
Wir möchten das Java-PlugIn für die Ausführung von Java-Applets aktivieren und klicken hier deshalb auf OK.
3. Aktivierung des Java-PlugIn bestätigen
Nun müssen wir die White List, also die Liste der URLs, bearbeiten, die wir für sicher halten
- Richtig: https://www.beispiel.com/eineApplikation/
- Falsch: https://www.beispiel.com/eineApplikation/dateiname.html
Unsignierte Applets laufen in diesem Fall innerhalb der Sandbox und haben eingeschränkte Rechte. Zugriffe auf die lokale Verzeichnisebene ist genauso tabu, wie die VM beenden, Verbindung zu einem anderen Rechner aufnehmen, oder Systemeigenschaften auszulesen.
