6u14には、署名付きJARファイルのブラックリスト機能のサポートが追加されました。ブラックリストは、信頼できないアプレットやアプリケーションによって利用される可能性がある重大なセキュリティの脆弱性を含む署名付きJARのリストです。システム全体のブラックリストは、JREリリースごとに配布されます。Java Plug-inとJava Web Startは、このブラックリストを参照して、ブラックリストに載っているJARファイルに含まれる任意のクラスまたはリソースのロードを拒否します。デフォルトでは、ブラックリストのチェックは有効になっています。この動作は、deployment.security.blacklist.check
配備構成プロパティを使用して切り替えることができます。ブラックリストは、プロパティdeployment.blacklist.urlを使用して更新され、デフォルトはhttps://javadl-esd-secure.oracle.com/update/blacklistです。
ブラックリストのエントリは、deployment.system.security.blacklist
プロパティとdeployment.user.security.blacklist
プロパティによってポイントされるブラックリスト・ファイルの和集合です。デフォルトでは、deployment.system.security.blacklist
はjre/lib/security
ディレクトリのblacklist
ファイルをポイントし、deployment.user.security.blacklist
はユーザーによって追加されたエントリを含むブラックリスト・ファイルをポイントします。
ブラックリストは、次の形式のテキスト・ファイルです。
attribute : value
ブラックリスト上の各JARファイルはx-Digest-Manifest
属性によって識別されます。ここで、x
はMessageDigest
アルゴリズムの名前であり、その値はマニフェストのBase64でエンコードされたハッシュ値です。コメントは、#(シャープ)記号で始まる行に記述します。
次はその例です。
# Buggy Utilities, version 1.0 SHA1-Digest-Manifest : QONXbQg+EtNOguIOAgpUUOadhv8= # Malware Inc., version 99.99 SHA-256-Digest-Manifest : SewaudBCZ3iXt1KX0BeFHpQiiM1xYLtvLw3Ow2RJfcs=