Java Applets und Java Web Start-Anwendungen starten - ab Java 7 Update 51
 |
Dieser Beitrag wird derzeit noch bearbeitet. Der Text ist deshalb unvollständig und kann Fehler oder ungeprüfte Aussagen enthalten. |
Inhaltsverzeichnis
Einleitung
Nachdem man in Java's Laufzeitumgebungen (JRE) der Versionen 6 und 7 mehrere Sicherheitslöcher gefunden hatte, die auch massiv ausgenutzt wurden, war Oracle in Zugzwang und führte radikale Veränderungen in den Sicherheitsmechanismen der JRE ein, die mit Java 7 Update 51 am 14. Januar 2014 veröffentlicht wurden.
Durch die Änderungen ergaben sich erhebliche Einschnitte bei der Ausführung von unsignierten sowie signierten Java-Applets durch standardmäßig höhere Sicherheitseinstellungen im Java Control Panel. Mit diesen Einstellungen haben Applets keine Möglichkeit mehr, ausgeführt zu werden. Eigentlich ein Todesstoß für die ohnehin seltenen Java-Applets im Internet. Doch was ist z.B. mit Applets in Unternehmensnetzwerken, Intranets usw. ?
Schauen wir uns als also an, welche Möglichkeiten wir nun haben, um Java-Applets wieder zum Laufen bekommen.
Der Istzustand
Unsignierte Java-Applets
Unsignierte Applets können standardmäßig nun nicht mehr ausgeführt werden. Die Sicherheitseinstellungen im Java Control Panel verhindern, dass unsignierter Java-Code auf dem Client-Rechner zur Ausführung kommt.
Die JRE präsentiert folgenden Sicherheitsdialog:
Signierte Java-Applets
Vom Programmierer selbst signierte Anwendungen werden mit den Standardsicherheitseinstellungen ebenso blockiert. Ausschließlich mit einem von kostenpflichtigen Authentifizierungsdiensten, wie bspw. Verisign (Symantec) oder Thawte, ausgestellten Zertifikat startet ein Java-Applet nun noch in der höchsten Sicherheitsstufe. Sie laufen außerhalb der Sandbox und erhalten erweiterte Rechte auf dem Client-Rechner, die alle Systemrechte des Clients einschließt.
Java Applets starten - ab Java 7 Update 51
Unsignierte Java-Applets
Ein unsigniertes Applet startet nun in den Standardsicherheitseinstellungen des Java Control Centers gar nicht mehr. Somit wird sichergestellt, dass potenziell schadhafter Code auf dem Client-Rechner nicht ausgeführt werden kann.
Möchte man dennoch ein unsigniertes Applet starten, sollte der Anwender genau wissen, was er macht.
Mit einem Eingriff in die Sicherheitseinstellungen der VM können ältere und/oder nicht signierte Java-Applets trotzdem ausgewführt werden.
Dazu muss der Schieberegler der Sicherheitsebene von Hoch (Mindestempfehlung) auf Mittel verschoben werden:
In einem Sicherheitsdialog wird nun immer noch einmal gewarnt, wenn in einer Webseite ein potenziell unsicheres Applet auszugeführt werden soll.
Hier muss nun der Haken gesetzt werden, anschließend kann das unsignierte Applet durch Klick auf den Ausführen-Button gestartet werden.
Signierte Java-Applets
Für das Signieren von Applets gibt es nun neue Regeln, ohne deren Anwendung Applets nicht ausgeführt werden. Im Artikel Java-Applets und Java WebStart-Anwendungen signieren wird beschrieben, wie nun gültige Zertifikate erzeugt und Anwendungen damit signiert werden können.
