|
|
セキュリティー |
セキュリティーでは、次のトピックについて説明します。
Java Web Start あるいは Java Plug-in を使用して配備された Java アプリケーションおよびアプレットは、デフォルトでは、セキュリティー保護されたサンドボックス内で実行されます。 サンドボックスは信頼されていないアプリケーションのコードに付与する一連のアクセス権を定義します。
標準の Java ポリシーファイルは、信頼されていないアプリケーションに付与するアクセス権を拡張するために使用されます。$JRE_HOME/lib/security/java.policy および $USER_HOME/.java.policy (すべての java プログラムにより使用される) に加えて、Java Web Start および Java Plug-in によりロードされるアプリケーションとアプレットは、2 つのポリシーファイルを追加的にロードします。それらの格納場所は配備構成プロパティー、deployment.user.security.policy および deployment.system.security.policy により設定されます。
デフォルトのサンドボックスは、これらのポリシーファイルにより付与されたアクセス権が存在すれば、それらを組み合わせて、信頼されていないコードに付与するアクセス権を決定します。
もう 1 つのポリシーファイルの格納場所は配備構成プロパティー deployment.security.trusted.policy により決定され、信頼されたコードに付与するアクセス権を制限するために使用されます。デフォルトでは、このプロパティーは設定されません。 その場合、信頼されたコードには AllPermission アクセス権が付与されます。このプロパティーが設定された場合、信頼されたコードには、信頼されていないコードに付与されたアクセス権と、このプロパティーで指定するポリシーファイルにより付与された他のアクセス権だけが付与されます。
配備構成には、コードを信頼するかどうか、またどのように信頼するかを決定するために、いくつかのプロパティーが備えられています。通常、Java Plug-in の任意の署名されているファイル、および AllPermission アクセス権を要求し、jnlp ファイルにより指定される Java Web Start 内の署名された JAR ファイルの任意のセットには、証明書チェーンが検証され、結果がセキュリティーダイアログに表示されてから、信頼が与えられます。
配備構成プロパティー deployment.user.security.trusted.certs は、ユーザーによりすでに許可された証明書を含む証明書ストアを指定します。
配備構成プロパティー deployment.system.security.trusted.certs は、システム管理者によりあらかじめ許可されている証明書の証明書ストアを指定するように設定できます。
Java Plug-in における JAR ファイル、または Java Web Start における AllPermission アクセス権を要求する jnlp ファイルの JAR ファイル群は、これらのストアの 1 つにある証明書で署名されると、信頼を付与されます。
配備構成プロパティー deployment.security.askgrantdialog.show は、新しい証明書を使用して署名された新しいコードに信頼を付与する許可をユーザーに与えるかどうかを制御します。 配備構成プロパティー deployment.security.askgrantdialog.notinca は、さらにルート証明書が認証局のルート証明書ストア (以下を参照) にない証明書により署名されたコードに対して、信頼を付与する許可をユーザーに与えるかどうかを制御するために使用されます。
上記の 2 つのプロパティーが許可し、コードが適切に検証された証明書チェーンを使用して署名されている場合、コードに信頼を与えるかどうかを尋ねるセキュリティーダイアログボックスが表示されます。
「Run」をクリックすると、次のダイアログが表示されます。
上記の認証局のルート証明書ストアは、deployment.user.security.cacerts および deployment.system.security.cacerts プロパティーにより指定されたファイル内に格納される証明書の集合です。デフォルトでは deployment.system.security.cacerts は、jre/lib/security ディレクトリの cacerts ファイルを指定します。 deployment.user.security.cacerts は、Java コントロールパネルの「セキュリティー」タブにある「証明書」ダイアログ ボックスを使用してインポートされる、任意の追加された cacerts を含むファイルを指定します。
ユーザーが使用する Java Web Start のカスタマイズには最終の設定が使用されます。デフォルトでは、サンドボックスに、AWTPermission showWindowWithoutWarningBanner は含まれません。このアクセス権がないと、すべてのトップレベルのウィンドウに、awt バナー「Java Application Window」または「Java Applet Window」が表示されます。配備構成プロパティー deployment.security.sandbox.awtwarningwindow は、信頼されていないコードにこのアクセス権を追加するために使用されます。