ブラックリストJar機能

6u14には、署名付きJARファイルのブラックリスト機能のサポートが追加されました。ブラックリストは、信頼できないアプレットやアプリケーションによって利用される可能性がある重大なセキュリティの脆弱性を含む署名付きJARのリストです。システム全体のブラックリストは、JREリリースごとに配布されます。Java Plug-inとJava Web Startは、このブラックリストを参照して、ブラックリストに載っているJARファイルに含まれる任意のクラスまたはリソースのロードを拒否します。デフォルトでは、ブラックリストのチェックは有効になっています。この動作は、deployment.security.blacklist.check配備構成プロパティを使用して切り替えることができます。ブラックリストは、プロパティdeployment.blacklist.urlを使用して更新され、デフォルトはhttps://javadl-esd-secure.oracle.com/update/blacklistです。

ブラックリストのエントリは、deployment.system.security.blacklistプロパティとdeployment.user.security.blacklistプロパティによってポイントされるブラックリスト・ファイルの和集合です。デフォルトでは、deployment.system.security.blacklistjre/lib/securityディレクトリのblacklistファイルをポイントし、deployment.user.security.blacklistはユーザーによって追加されたエントリを含むブラックリスト・ファイルをポイントします。

ブラックリストは、次の形式のテキスト・ファイルです。 

    attribute : value

ブラックリスト上の各JARファイルはx-Digest-Manifest属性によって識別されます。ここで、xMessageDigestアルゴリズムの名前であり、その値はマニフェストのBase64でエンコードされたハッシュ値です。コメントは、#(シャープ)記号で始まる行に記述します。

次はその例です。 

    # Buggy Utilities, version 1.0
    SHA1-Digest-Manifest : QONXbQg+EtNOguIOAgpUUOadhv8=
    # Malware Inc., version 99.99
    SHA-256-Digest-Manifest : SewaudBCZ3iXt1KX0BeFHpQiiM1xYLtvLw3Ow2RJfcs=
Copyright © 1993, 2020, Oracle and/or its affiliates. All rights reserved.