As atualizações necessárias estão no pacote e distribuição; nenhuma alteração de código da API deve ser necessária.
A motivação para essas alterações se refere a uma
potencial redefinição de finalidade de aplicações no sandbox, pela qual a alocação de permissões dentro de um JAR assinado impede a modificação do seu nível de permissão especificado.
As RIAs devem conter duas coisas:
Assinaturas de código de uma autoridade confiável. Todo código de Applets e aplicações Web Start deve ser assinado, independentemente de seus atributos de Permissions.
Atributos de Manifesto
Permissões – Introduzidas na release 7u25 e obrigatórias a partir da release 7u51. Indica se a RIA deveria ser executada dentro da sandbox ou exige permissões integrais.
Codebase - Introduzido na release 7u25 e opcional/incentivada a partir da release 7u51. Aponta para o local conhecido do código hospedado.
Java 7 Update 45 (7u45), outubro de 2013: chamadas do LiveConnect pedirão permissão antes de interagir com Aplicações Rich Internet.
Será solicitado que os usuários concedam permissão para páginas Web (domínios) que interagem com aplicações por meio do JavaScript LiveConnect.
Os desenvolvedores devem adicionar o atributo Caller-Allowable-Codebase do Manifesto para identificar os locais dos quais o código JavaScript poderá chamar métodos na aplicação.
Java 7 Update 40 (7u40), setembro de 2013: os administradores de sistema podem colocar na lista branca aplicações em seus desktops gerenciados.
Os Administradores de Sistemas podem colocar na lista branca aplicações Java específicas a serem executadas nos computadores dos usuários usando Conjuntos de Regras de Implantação. Os Administradores de Sistemas podem consultar a
documentação do Conjunto de Regras de Implantação ou começar com exemplos do Conjunto de Regras de Implantação.
Java 7 Update 21 (7u21), abril de 2013: todo o conteúdo Java acessado por meio do browser (inclusive Applets e Aplicações) solicitarão permissão antes de iniciar a execução.
Os cenários de menor risco apresentam mensagens mais simples e contêm uma caixa de seleção para suprimir a exibição dessas mensagens na próxima vez em que a aplicação for acessada.
Os cenários de maior risco, como a execução de uma aplicação sem qualquer certificado digital de identificação, exigirá interação adicional.
Que efeito têm essas alterações?
Quando consideradas em conjunto, essas alterações permitem que os usuários verifiquem o editor do software e confirmem a interação com a aplicação. O uso de certificados com assinatura de código permite que o Java apresente informações precisas sobre o fornecedor da aplicação para ajudar o usuário a decidir se ele deve executar a aplicação.
Essas alterações prejudicarão as aplicações baseadas em Java que executo normalmente?
As alterações que descrevemos não deverão prejudicar as aplicações que você executa normalmente. No entanto, pode ser que elas solicitem que você conceda permissão explícita para permitir a execução de uma aplicação clicando em um botão 'Executar'. Isso dá a você o controle necessário para impedir que aplicações de alto risco sejam executadas automaticamente em seu computador.
Por que eu não vejo a opção para selecionar Não mostrar novamente para esta aplicação no diálogo de segurança para uma aplicação não assinada?
Começando com o Java 7 Update 40, a opção para selecionar Não mostrar novamente para esta aplicação não está mais disponível. Diferentemente das versões anteriores, um usuário não pode suprimir o diálogo de segurança para uma aplicação não assinada e terá que selecionar a opção Eu aceito o risco e quero executar esta aplicação a cada vez para executar a aplicação não assinada.
O que é uma Autoridade de Certificadora?
Uma Autoridade de Certificadora é um terceiro confiável, geralmente um negócio comercial, que emite certificados digitais. Os certificados são emitidos para organizações ou indivíduos, depois da verificação de sua identidade. O certificado digital é adicionado às aplicações do computador para validar se a aplicação originou-se do proprietário do certificado. Para obter mais informações, consulte
http://wikipedia.org/wiki/Certificate_authority.
Por que essas alterações são importantes para mim?
O Java no browser é um alvo popular de ataques. Em 2012, o Java 7u10 introduziu funcionalidades de segurança as quais exigem que você permita explicitamente a execução de aplicações Java. Você também pode configurar o Java para impedir a execução de qualquer aplicação que não seja confiável. Aplicações confiáveis são aquelas que incluem um certificado digital válido emitido por uma Autoridade de Certificação e que, consequentemente, fornecem informações sobre a identidade do provedor de aplicações. Esses certificados permitem que o Java aplique a proteção e a segurança das aplicações criadas por esses provedores.
Quais etapas adicionais posso executar para garantir a segurança de sistemas que executam aplicações Java no browser?
Os usuários do Java, administradores de sistema e desenvolvedores são muito encorajados a manter os sistemas atualizados com as versões mais recentes. O mecanismo de atualização automática do Java se destina a ajudar os usuários do Java atualizados com as correções de segurança mais recentes.