我有一个 Java 小程序,它不需要任何特殊权限即可运行(即,它在沙箱中运行良好),但需要用户输入一些敏感信息。因此,我希望用户能够验证小程序的来源。
然后我签署了小程序,一切似乎都在正常工作。浏览器显然接受了签名;出于测试目的,我尝试执行 PrivilegedActions 并且一切正常。但是,浏览器不会通知用户浏览器已签名 - 从用户的角度来看,applet 的未签名版本和签名版本看起来完全一样。
所以我的问题是:有没有办法指示浏览器将签名权限呈现给用户,或者类似的东西?
最佳答案
首先,这不是签署 jar 的有效用法。
您是否曾在某个时候忘记取消选中始终信任复选框?
回到第一点,因为它很重要。通过签署一个 jar,您将证书名称放在它是安全的声明中。请注意,安全比非恶意要广泛得多。如果在任何地方遇到任何代码已签名,则会弹出询问用户是否要授予完全本地用户访问权限的安全对话框。这并不意味着某些特定的像素集来自可信来源。
正确的做法是使用https。
关于java - 区分已签名的 Java 小程序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3555730/