Java Platform, Standard Editionデプロイメント・ガイド
目次      

29 例外サイト・リスト

このトピックでは、実行しない場合はセキュリティ・チェックによってブロックされてしまうRich Internet Application (RIA)をユーザーが実行する方法を提供する、例外サイト・リスト機能について説明します。RIAの実行が許可されるかどうかの判定に使われる基準はより厳しくなっています。時には、セキュリティ要件を満たすようにレガシーRIAを更新し、それらがブロックされないようにするのが難しいこともあります。この機能を使用すると、ユーザーはこのようなRIAの実行を継続できます。

例外サイト・リストには、ユーザーが実行させたいRIAをホストするサイトのURLが含まれています。例外サイト・リストに載っているサイトから起動されるRIAは、次のような、通常ならRIAがブロックされてしまう状況にあっても、適切なセキュリティ・プロンプトを表示して実行することが許可されます。

  • RIAが、信頼できる証明書発行局からの証明書で署名されていません

  • RIAがローカルでホストされています

  • JARファイルにPermissionsマニフェスト属性がありません

  • RIAが期限切れの証明書で署名されています

  • RIAの署名に使用された証明書の失効チェックを行えません

また、例外サイト・リストを使用すると、JavaScriptコードとJavaコードがそのリスト内のサイト上にあるときに、ユーザーに権限の入力を求めないで、JavaScriptコードからJavaコード (LiveConnect)の呼出しを行うこともできます。


注意:

アクティブなデプロイメント・ルール・セットがシステムにインストールされている場合、デプロイメント・ルールが例外サイト・リストより優先されます。例外サイト・リストは、デフォルトのルールが適用されている場合にのみ考慮されます。デプロイメント・ルールの詳細は、第28章「デプロイメント・ルール・セット」を参照してください。

この節の内容は以下のとおりです。

29.1 例外サイト・リストの管理

例外サイト・リスト機能で認められた例外は、エントリ・ポイントがそのリストに含まれているRIAに適用されます。

  • アプレットの場合は、アプレットのドキュメント・ベースのURLがそのリストに含まれている必要があります。

  • Java Web Startアプリケーションの場合は、メインJNLPファイルのURLがそのリストに含まれている必要があります。メインJNLPファイルのURLを確定できない場合、そのRIAには例外が適用されません。

RIAが別のドメインからのリソースを必要とする場合は、そのドメインも例外サイト・リストに含まれている必要があります。そうでなければ、追加のリソースにアクセスしたときにRIAはブロックされます。

例外サイト・リストは、20.4項「セキュリティ」で説明されている、Javaコントロール・パネルの「セキュリティ」タブで管理され、そのタブに表示されます。このリストに項目を追加したり、このリストの項目を編集または削除したりするには、「サイト・リストの編集」をクリックし、「URLの追加」、「URLの編集」および「URLの削除」に記載された指示に従います。

29.1.1 URLの追加

URLを例外サイト・リストに追加するには、これらの手順に従います。

  1. 「例外サイト・リスト」ウィンドウで「追加」をクリックします。

  2. 場所」の下に用意されている空のフィールドにURLを入力します。

  3. 追加」をクリックし続け、リストが完了するまでURLを入力します。

  4. OK」をクリックして、入力したURLを保存します。「取消」をクリックした場合、URLは保存されません。

URLの形式には次のルールが適用されます。

  • プロトコルは必須です。

    サポートされているプロトコルは、FILEHTTPおよびHTTPSです。HTTPSが推奨されます。プロトコルがHTTPSでない場合は、警告が表示されます。URLを追加する場合は「続行」をクリックし、URLを破棄する場合は「取消」をクリックします。

  • ドメインは必須です。

    ワイルドカードはサポートされていません。ドメインのみを指定した場合は、そのドメインからのすべてのRIAが実行を許可されます。1つのドメインに複数のエントリを含めることができます(例: https://www.example.comhttp://www.example.com)。

  • ポート番号は、デフォルトのポートが使用されない場合にのみ必要です。

  • パスはオプションです。

    ワイルドカードはサポートされていません。パスがスラッシュ(/)で終わる場合(例: https://www.example.com/apps/)、そのディレクトリとすべてのサブディレクトリに含まれるRIAが実行を許可されます。パスがスラッシュ(/)で終わらない場合(例: http://www.example.com/test/applet.html)、その特定のRIAのみが実行を許可されます。

  • 形式は、RIA URLまたはhref属性に使用される形式と同じである必要があります。

    たとえば、https://www.example.com/sample/app/sample1/../sample2およびhttps://www.example.com/sample//app/sample2https://www.example.com/sample/app/sample2と一致するとはみなされません。

サイトを例外サイト・リストに追加するのは、そのサイト全体を信頼する場合のみにしてください。パスが指定されていても、他の信頼できないパスが含まれる可能性のあるサイトを追加すると、セキュリティ・リスクが発生する可能性があるため、お薦めできません。

無効なURLが入力された場合は、その項目の横にエラー・アイコンが表示されます。URLを訂正しないで「OK」をクリックした場合、無効なURLは保存されません。

29.1.3 URLの削除

例外サイト・リストからURLを削除するには、これらの手順に従います。

  1. 「例外サイト・リスト」ウィンドウで、削除するURLをクリックします。

  2. 複数のURLを削除するには、[Ctrl]キーを押しながら、追加のURLをクリックします。

  3. 「削除」をクリックします。

  4. 「OK」をクリックして変更を保存します。「取消」をクリックした場合、URLはリストから削除されません。

29.2 例外サイト・リストへのアクセスの管理

例外サイト・リストの場所は、deployment.user.security.exception.sitesプロパティに設定されています。デフォルトの場所は、<deployment.user.home>/security/exception.sitesです。プロパティおよびプロパティ・ファイルの詳細は、第21章「配備構成ファイルおよびプロパティ」を参照してください。

ユーザーは自分のシステムでリストを管理することも、中心となる場所でシステム管理者が管理しているリストを使用することもできます。システム管理者がユーザーによる例外サイト・リストの編集を望まない場合は、deployment.user.security.exception.sitesプロパティを、ユーザーが書込み権限を持たないファイルに設定できます。ユーザーが例外サイト・リストへの書込みをできない場合、Javaコントロール・パネルにそのリストが表示されますが、「例外サイト・リスト」ウィンドウにある編集用のコントロールは利用不可になります。

ユーザーがシステム管理者が設定した例外サイト・リスト以外のリストを使用するのを防ぐために、deployment.user.security.exception.sitesプロパティをロックできます。システム・プロパティのロックについては、21.2項「配備構成プロパティ」を参照してください。

目次      
Copyright © 1993, 2020, Oracle and/or its affiliates. All rights reserved.