Во время обновления Java Critical Patch Upgrade (CPU)1 от 19 февраля 2013 г. Oracle объявила о своих намерениях обеспечить выпуск нового ЦП Java, Oracle Java SE 7 Upgrade 21 (Java SE 7u21), 16 апреля 2013 г. Наряду с удалением защиты , Java SE 7u21 также предоставляет некоторые ключевые меры защиты. Наиболее важным является новое требование, согласно которому все апплеты Java и программы Web Begin, использующие подключаемый модуль Java для запуска в браузерах, должны иметь честную сертификацию для наилучшего взаимодействия с потребителем. Java поддерживает выбор кода, но до Java SE 7u21 это была необязательная функция. Программный код, на котором основано решение, предоставляет клиентам многочисленные преимущества защиты.
Java SE 7u21 представит изменения уровней защиты на ползунке защиты в панели управления Java. Авторы и поставщики приложений, реализованных с использованием Java апплетов или технологических инноваций Java Web Begin — приложений, распространяемых клиентам во время выполнения через веб-браузер или сеть, — должны указывать свой код, используя честную сертификацию для наилучшего встреча с потребителем. В частности, весь Java-код, реализованный в веб-браузере клиента, будет предлагать потребителю. Тип представленных сообщений обсуждения зависит от рисков, таких как завершенный или неподписанный код, код, запрашивающий повышение привилегий, JRE выше или ниже рекомендаций по защите и т. д. Обстоятельства с низким уровнем угрозы представляют очень минимальное обсуждение и добавьте флажок, чтобы в дальнейшем не отображались аналогичные диалоги того же поставщика. Обстоятельства более серьезной угрозы, такие как запуск неподписанных jar-файлов, потребуют большего взаимодействия с клиентом, учитывая возросшую угрозу.
Даже самые незначительные изменения в отношениях с потребителем иногда вызывают затруднения. Мы рассмотрели, как изменения влияют на взаимодействие с потребителем. Учитывая нынешнюю атмосферу вокруг Java в веб-браузере, выбор кода является ценным средством защиты для защиты пользователей Java.
Какие изменения вводятся?
Java SE 7u21 представит изменения в поведении подключаемых модулей веб-браузера Java, поощряя авторов приложений и поставщиков указывать код с сертификацией от честного сертификата. Дизайнеров настоятельно просят указать код сейчас в рамках подготовки к этому запуску и предстоящим выпускам. Подробности о новых запросах защиты можно найти в этой статье на java.com.
Эти шаги значительно снизят риски для пользователей ПК. Мы также удаляем конфигурации «низкой» защиты в панели управления Java (например, низкая/настраиваемая), чтобы клиенты не могли непреднамеренно полностью отказаться от удаления защиты, которую мы встраиваем в Java. Пользователи будут лучше защищены, поддерживая последние выпуски JRE для своих методов в сочетании с требованием кода, который завершен с помощью надежного сертификата (а не самоподписанного или неподписанного кода).
Почему эти изменения важны?
Java, работающая в веб-браузере, является популярной мишенью для злоумышленников. Начиная с версии 7u10 в конце 2012 года, Oracle представила настраиваемые пользователем конфигурации, которые можно использовать для реализации только «доверенных» апплетов. Надежные апплеты — это те апплеты, которые завершаются сертификатами, выданными доверенными центрами сертификации, и окончательно утверждаются конечными пользователями. Выбор кода повышает доверие клиентов к поставщикам апплетов и помогает обеспечить ответственность поставщика за безопасность предоставляемого ими апплета.
Приведут ли эти изменения к поломке моих приложений?
Изменения в 7u21 не должны вас сломать, но разработчики настоятельно просят проверять корректную работу всех приложений при каждом запуске обновления. Платформа не будет отрицать производительность Java-приложений, однако в условиях высокого риска потребителю предоставляется возможность прервать производительность, если он захочет. Будущие обновления могут включать дополнительные изменения для ограничения небезопасного поведения, такого как неподписанные и самозаверяющие приложения.
Что значит выбор кода для пользователей ПК?
Подписание кода с честной сертификацией улучшит взаимодействие с потребителем и даст больше информации, которая поможет избежать нападений.
Что означает выбор кода для авторов и поставщиков приложений?
Чтобы представить потребителям наилучшие условия, авторов и поставщиков Java-приложений, реализованных с использованием Java-апплетов или технологических инноваций Java Web Start, просят указать свой код до запуска процессора Java SE 7u21 в апреле. Кроме того, весь программный код должен поддерживаться в соответствии с последними версиями Java. Отказ клиентам от обновления до новейших версий Java изменит отношение клиентов, поскольку Java будет работать ниже рекомендаций по защите. Всем клиентам настоятельно рекомендуется обновиться до самых последних выпусков Java, чтобы обеспечить защиту своих технологий. Вы можете присоединиться к институту Java-разработчик и изучать Java для получения сертификата Java.
Ознакомьтесь с нашими ОБЗОРАМИ JAVA здесь.
