開発者 - ブラウザでのJavaコンテンツ - セキュリティ・マニフェストの変更
このトピックは、次に当てはまります。:
- プラットフォーム: すべてのプラットフォーム
- Javaバージョン: 7.0, 8.0
開発者: 7u51 (2014年1月)では、お使いのリッチ・インターネット・アプリケーション(RIA。アプレットやWeb Startアプリケーションとも呼ばれる)を更新する必要があります。必要な更新は、パッケージとディストリビューションに含まれており、APIコードの変更は必要ありません。これらの変更は、サンドボックス・アプリケーションが別の目的に使用される可能性に関連して導入されたものであり、署名付きJAR内に権限を設定することで、指定された権限レベルの変更を阻止します。
RIAには、次の2つが含まれている必要があります:
- 信頼できる認証局からのコード署名。権限属性に関係なく、アプレットおよびWeb Startアプリケーションのすべてのコードは、署名されている必要があります。
- マニフェスト属性
- 権限 – 7u25で導入され、7u51では必須です。RIAをサンドボックス内で実行する必要があるか、完全な権限が必要であるかを示します。
- コードベース – 7u25で導入され、7u51では、オプションまたは推奨です。ホストされるコードの既知の場所を指します。
詳細な情報は、「Java Platform Group Product Management」ブログを参照してください。
Java 7 Update 45 (7u45)、2013年10月: リッチ・インターネット・アプリケーションとやり取りする前に、LiveConnectコールは権限を要求します- ユーザーは、JavaScript LiveConnectを介してJavaアプリケーションとやり取りするWebページ(ドメイン)に対して権限を付与するよう求められます。
- JavaScriptコードがアプリケーションのメソッドをコールできる場所を識別するために、開発者はマニフェスト属性
Caller-Allowable-Codebaseを追加する必要があります
- システム管理者は、デプロイメント・ルール・セットを使用してユーザーのコンピュータ上で実行する特定のJavaアプリケーションをホワイトリストに登録できます。システム管理者はデプロイメント・ルール・セットのドキュメントを参照するか、またはデプロイメント・ルール・セットの例から始めることができます。
- プロンプトに含まれるメッセージは、アプリケーションの実行に伴うリスク要素によって異なります。一般的なセキュリティ・メッセージを確認するには、セキュリティ・ダイアログFAQを参照してください。
- 低リスクのシナリオでは、単純なメッセージが表示されます。また、次にアプリケーションにアクセスしたときにメッセージの表示を抑止するためのチェック・ボックスが含まれます。
- 高リスクのシナリオ(識別するデジタル証明書なしでアプリケーションを実行する場合など)では、追加の操作が必要になります。
これらの変更はどのような影響を与えますか。
総合すると、これらの変更によりユーザーはソフトウェア発行者の確認およびアプリケーションとのやり取りの確認を行うことができます。コード署名証明書を使用すると、Javaはアプリケーション・ベンダーに関する正確な情報を表示でき、ユーザーがアプリケーションを実行するべきかどうかを判断する助けとなります。これらの変更は通常実行するJavaベース・アプリケーションを阻害しますか。
ここで説明する変更が、通常実行するアプリケーションを阻害することはありません。ただし、「実行」ボタンをクリックしてアプリケーションを実行するために、明示的な権限を指定するように求められることがあります。これにより、高リスク・アプリケーションがコンピュータで自動的に実行しないように制御することができます。互換性を懸念するシステム管理者は、デプロイメント・ルール・セット機能を使用して管理対象デスクトップにおける特定のリッチ・インターネット・アプリケーションをホワイトリストに登録できます。
署名なしのアプリケーションのセキュリティ・ダイアログで、「このアプリケーションでは次回から表示しない」を選択するオプションが表示されないのはなぜですか。
Java 7 Update 40以降では、「このアプリケーションでは次回から表示しない」を選択するオプションは使用できなくなりました。以前のバージョンとは異なり、ユーザーは、署名なしのアプリケーションのセキュリティ・ダイアログを抑止できず、署名なしのアプリケーションを実行するたびに「リスクを受け入れて、このアプリケーションを実行します。」オプションを選択する必要があります。認証局とは何ですか。
認証局は、デジタル証明書を発行している信頼できるサード・パーティ(通常は営利企業)です。IDを検証した後、証明書が組織または個人に発行されます。デジタル証明書はコンピュータ・アプリケーションに追加され、アプリケーションが証明書の所有者によるものであることを確認します。詳細は、http://wikipedia.org/wiki/Certificate_authorityを参照してください。これらの変更はなぜ重要なのですか。
ブラウザのJavaは、攻撃者の一般的なターゲットです。2012年のJava 7u10によって、ユーザーがJavaアプリケーションの実行を明示的に許可する必要があるセキュリティ機能が導入されました。また、信頼できないアプリケーションの実行を防ぐようにJavaを構成することもできます。信頼できるアプリケーションとは、認証局によって発行された有効なデジタル証明書を含み、アプリケーション・プロバイダのID情報を提供するアプリケーションです。Javaは、このような証明書によって、それらのプロバイダによって作成されたアプリケーションの安全性とセキュリティを強化できます。ブラウザでJavaアプリケーションを実行するシステムのセキュリティを確認するには、どのような追加手順を実行すればよいですか。
Javaユーザー、システム管理者および開発者は、最新バージョンでシステムの最新の状態を維持することを強くお薦めします。Java自動更新メカニズムは、最新のセキュリティ修正でJavaユーザーが最新の状態を維持するように設計されています。以前に自動更新をオフにした場合、自動更新を再度有効化して、システムに最新の最もセキュアなJavaがインストールされていることを確認します。詳細は、「Java 6からJava 7への自動更新FAQ」を参照してください。
| エンド・ユーザー |
Java - ヘルプ (Java.com) Javaコントロール・パネルのセキュリティ・レベル設定 |
| 開発者 |
Javaプログラミング言語のJava SEセキュリティ・セキュア・コーディング・ガイドライン セキュリティのJARファイル・マニフェスト属性 Java SE セキュリティ・ドキュメント 署名付きコード変更の技術情報 |
| 企業 |
Oracle Java SEサポートは、重要なアプリケーションの電子メールおよび電話による24x7サポートを提供します Oracle Java SE AdvancedおよびOracle Java SE Suite製品は、JavaベースのIT環境のデプロイメント、モニタリングおよびメンテナンスのコストを最小限に抑えるエンタープライズ機能を提供します。 |
| システム管理者 |
ホワイトリスト登録アプリケーションのデプロイメント・ルール・セット デプロイメント・ベスト・プラクティス システム管理者用のJavaプラグイン・ガイド チュートリアル: Java SEのセキュリティ機能 |