このトピックでは、実行しない場合はセキュリティ・チェックによってブロックされてしまうRich Internet Application (RIA)をユーザーが実行する方法を提供する、例外サイト・リスト機能について説明します。RIAの実行が許可されるかどうかの判定に使われる基準はより厳しくなっています。時には、セキュリティ要件を満たすようにレガシーRIAを更新し、それらがブロックされないようにするのが難しいこともあります。この機能を使用すると、ユーザーはこのようなRIAの実行を継続できます。
例外サイト・リストには、ユーザーが実行させたいRIAをホストするサイトのURLが含まれています。例外サイト・リストに載っているサイトから起動されるRIAは、次のような、通常ならRIAがブロックされてしまう状況にあっても、適切なセキュリティ・プロンプトを表示して実行することが許可されます。
RIAが、信頼できる証明書発行局からの証明書で署名されていません
RIAがローカルでホストされています
JARファイルにPermissionsマニフェスト属性がありません
RIAが期限切れの証明書で署名されています
RIAの署名に使用された証明書の失効チェックを行えません
また、例外サイト・リストを使用すると、JavaScriptコードとJavaコードがそのリスト内のサイト上にあるときに、ユーザーに権限の入力を求めないで、JavaScriptコードからJavaコード (LiveConnect)の呼出しを行うこともできます。
注意: アクティブなデプロイメント・ルール・セットがシステムにインストールされている場合、デプロイメント・ルールが例外サイト・リストより優先されます。例外サイト・リストは、デフォルトのルールが適用されている場合にのみ考慮されます。デプロイメント・ルールの詳細は、第28章「デプロイメント・ルール・セット」を参照してください。 |
この節の内容は以下のとおりです。
例外サイト・リスト機能で認められた例外は、エントリ・ポイントがそのリストに含まれているRIAに適用されます。
アプレットの場合は、アプレットのドキュメント・ベースのURLがそのリストに含まれている必要があります。
Java Web Startアプリケーションの場合は、メインJNLPファイルのURLがそのリストに含まれている必要があります。メインJNLPファイルのURLを確定できない場合、そのRIAには例外が適用されません。
RIAが別のドメインからのリソースを必要とする場合は、そのドメインも例外サイト・リストに含まれている必要があります。そうでなければ、追加のリソースにアクセスしたときにRIAはブロックされます。
例外サイト・リストは、20.4項「セキュリティ」で説明されている、Javaコントロール・パネルの「セキュリティ」タブで管理され、そのタブに表示されます。このリストに項目を追加したり、このリストの項目を編集または削除したりするには、「サイト・リストの編集」をクリックし、「URLの追加」、「URLの編集」および「URLの削除」に記載された指示に従います。
URLを例外サイト・リストに追加するには、これらの手順に従います。
「例外サイト・リスト」ウィンドウで「追加」をクリックします。
「場所」の下に用意されている空のフィールドにURLを入力します。
「追加」をクリックし続け、リストが完了するまでURLを入力します。
「OK」をクリックして、入力したURLを保存します。「取消」をクリックした場合、URLは保存されません。
URLの形式には次のルールが適用されます。
プロトコルは必須です。
サポートされているプロトコルは、FILE
、HTTP
およびHTTPS
です。HTTPS
が推奨されます。プロトコルがHTTPS
でない場合は、警告が表示されます。URLを追加する場合は「続行」をクリックし、URLを破棄する場合は「取消」をクリックします。
ドメインは必須です。
ワイルドカードはサポートされていません。ドメインのみを指定した場合は、そのドメインからのすべてのRIAが実行を許可されます。1つのドメインに複数のエントリを含めることができます(例: https://www.example.com
とhttp://www.example.com
)。
ポート番号は、デフォルトのポートが使用されない場合にのみ必要です。
パスはオプションです。
ワイルドカードはサポートされていません。パスがスラッシュ(/)で終わる場合(例: https://www.example.com/apps/
)、そのディレクトリとすべてのサブディレクトリに含まれるRIAが実行を許可されます。パスがスラッシュ(/)で終わらない場合(例: http://www.example.com/test/applet.html
)、その特定のRIAのみが実行を許可されます。
形式は、RIA URLまたはhref
属性に使用される形式と同じである必要があります。
たとえば、https://www.example.com/sample/app/sample1/../sample2
およびhttps://www.example.com/sample//app/sample2
はhttps://www.example.com/sample/app/sample2
と一致するとはみなされません。
サイトを例外サイト・リストに追加するのは、そのサイト全体を信頼する場合のみにしてください。パスが指定されていても、他の信頼できないパスが含まれる可能性のあるサイトを追加すると、セキュリティ・リスクが発生する可能性があるため、お薦めできません。
無効なURLが入力された場合は、その項目の横にエラー・アイコンが表示されます。URLを訂正しないで「OK」をクリックした場合、無効なURLは保存されません。
例外サイト・リストに記載されたURLを編集するには、これらの手順に従います。
「例外サイト・リスト」ウィンドウで、編集するURLをダブルクリックします。
URLに変更を加えます。URLの形式については、「URLの追加」を参照してください。
「OK」をクリックして変更を保存します。「取消」をクリックした場合、変更内容は保存されません。
例外サイト・リストからURLを削除するには、これらの手順に従います。
「例外サイト・リスト」ウィンドウで、削除するURLをクリックします。
複数のURLを削除するには、[Ctrl]キーを押しながら、追加のURLをクリックします。
「削除」をクリックします。
「OK」をクリックして変更を保存します。「取消」をクリックした場合、URLはリストから削除されません。
例外サイト・リストの場所は、deployment.user.security.exception.sites
プロパティに設定されています。デフォルトの場所は、<deployment.user.home>/security/exception.sites
です。プロパティおよびプロパティ・ファイルの詳細は、第21章「配備構成ファイルおよびプロパティ」を参照してください。
ユーザーは自分のシステムでリストを管理することも、中心となる場所でシステム管理者が管理しているリストを使用することもできます。システム管理者がユーザーによる例外サイト・リストの編集を望まない場合は、deployment.user.security.exception.sites
プロパティを、ユーザーが書込み権限を持たないファイルに設定できます。ユーザーが例外サイト・リストへの書込みをできない場合、Javaコントロール・パネルにそのリストが表示されますが、「例外サイト・リスト」ウィンドウにある編集用のコントロールは利用不可になります。
ユーザーがシステム管理者が設定した例外サイト・リスト以外のリストを使用するのを防ぐために、deployment.user.security.exception.sites
プロパティをロックできます。システム・プロパティのロックについては、21.2項「配備構成プロパティ」を参照してください。