|
| Signerede applets i IE Fra : Tage Nallan |
Dato : 29-12-01 15:17 |
|
Hej er der nogen der har erfaring i signerede applets i Internet Explorer.
Jeg forsøger selv at lære hvordan det fungerer, men det er ikke lykkedes mig
endnu.
Jeg udvikler til intranet, og mit mål er at den signerede applet højst skal
vise en advarsel en enkelt gang hvorefter den bliver stolet på hver gang.
Jeg fandt et simpelt eksempel på nettet, som udfører en trusted operation.
Det forsøger at læse filen autoexec.dos.
import java.awt.*;
import java.io.*;
import java.applet.*;
public class SecurityTest extends Applet {
public void init()
{
}
public void paint(Graphics g) {
String myMsg = "applet successfully accessed file!";
try {
BufferedReader myFile = new BufferedReader(new
FileReader("C:\\autoexec.dos"));
String myLine = "";
while (myLine != null)
myLine = myFile.readLine();
myFile.close();
}
catch (SecurityException ex)
{
myMsg = "Sorry, system will not allow access - " + ex;
}
catch (IOException ex)
{
myMsg = "File input problem - " + ex;
}
g.drawString(myMsg , 10, 20);
}
}
Herefter lavede jeg en .cab fil indeholdende den kompilerede .class fil og
signerede den
med følgende programmer og parametre:
cabarc -p n mycab1.cab SecurityTest.class
makecert -sk mykey -n "CN=myname" MyTestCert.cer
cert2spc MyTestCert.cer MyTestCert.spc
signcode -j javasign.dll -jp LOW -spc MyTestCert.spc -k mykey mycab1.cab
..cab filen blev lagt sammen med html filen, med følgende kode i html filen
<APPLET
CODE = "SecurityTest.class"
NAME = "TestApplet"
WIDTH = 400
HEIGHT = 300
HSPACE = 0
VSPACE = 0
ALIGN = middle
>
<PARAM NAME="cabbase" VALUE="mycab1.cab">
</APPLET>
Når appletten loades, kommer der en advarsel der giver mulighed for at
godkende appletten eller afvise den, men ingen mulighed for at stole på den
i fremtiden. Advarslen kommer hver gang! Også selv om certifikatet
importeres i IE.
Er der nogen som kender problemet? Hvad mangler jeg?
på forhånd tak
| |
Brian Matzon (29-12-2001)
| Kommentar Fra : Brian Matzon |
Dato : 29-12-01 15:54 |
|
"Tage Nallan" <afleron@hotmail.com> wrote in message
news:BdkX7.4528$aS.787442@news010.worldonline.dk...
<SNIP>
> Når appletten loades, kommer der en advarsel der giver mulighed for at
> godkende appletten eller afvise den, men ingen mulighed for at stole på
den
> i fremtiden. Advarslen kommer hver gang! Også selv om certifikatet
> importeres i IE.
> Er der nogen som kender problemet? Hvad mangler jeg?
*Jeg er ikke sikker*, men tror der er fordi at dit certifikat er hjemme
brygget,
hvis du køber et rigtigt certifikat fra en CA (verisign o lign) kan du
sikkert
truste den for evigt...
/Brian Matzon
| |
Filip Larsen (29-12-2001)
| Kommentar Fra : Filip Larsen |
Dato : 29-12-01 17:04 |
|
Tage Nallan skrev
> Når appletten loades, kommer der en advarsel der giver mulighed for at
> godkende appletten eller afvise den, men ingen mulighed for at stole på
den
> i fremtiden. Advarslen kommer hver gang!
Jeg mener som Brian, at det er fordi du benytter et testcertifikat der ikke
er underskrevet med noget certifikat i din browsers rodcertifikatliste, og,
at du enten må anskaffe dig et "officielt" certifikat eller importere et nyt
rodcertifikat i din rodcertifikatliste (som du så underskriver dit
testcertifikat med). Sidstnævnte er ok til testbrug, men til driftsbrug
kommer du nok ikke uden om et officielt certifikat.
Mvh,
--
Filip Larsen <filip.larsen@mail.dk>
| |
Soeren Dalby (29-12-2001)
| Kommentar Fra : Soeren Dalby |
Dato : 29-12-01 17:48 |
|
Det er en meget interessant problematik, som du/I beskriver. Kan I henvise
til noget materiale her på nettet ?? Jeg vil godt vide lidt mere om det !!
--
Med venlig hilsen / best regards
Soeren Dalby
"Filip Larsen" <filip.larsen@mail.dk> wrote in message
news:%OlX7.4554$aS.793930@news010.worldonline.dk...
> Tage Nallan skrev
>
> > Når appletten loades, kommer der en advarsel der giver mulighed for at
> > godkende appletten eller afvise den, men ingen mulighed for at stole på
> den
> > i fremtiden. Advarslen kommer hver gang!
>
> Jeg mener som Brian, at det er fordi du benytter et testcertifikat der
ikke
> er underskrevet med noget certifikat i din browsers rodcertifikatliste,
og,
> at du enten må anskaffe dig et "officielt" certifikat eller importere et
nyt
> rodcertifikat i din rodcertifikatliste (som du så underskriver dit
> testcertifikat med). Sidstnævnte er ok til testbrug, men til driftsbrug
> kommer du nok ikke uden om et officielt certifikat.
>
>
> Mvh,
> --
> Filip Larsen <filip.larsen@mail.dk>
>
>
| |
Tage Nallan (29-12-2001)
| Kommentar Fra : Tage Nallan |
Dato : 29-12-01 22:25 |
|
en smule;
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q193877
http://developer.java.sun.com/developer/onlineTraining/Programming/JDCBook/s
igned.html
http://www-106.ibm.com/developerworks/security/library/j-secevol1/?dwzone=se
curity
Soeren Dalby <nospam@nospam.com> skrev i en
nyhedsmeddelelse:3c2df3c0$0$55568$edfadb0f@dspool01.news.tele.dk...
> Det er en meget interessant problematik, som du/I beskriver. Kan I henvise
> til noget materiale her på nettet ?? Jeg vil godt vide lidt mere om det !!
>
>
> --
> Med venlig hilsen / best regards
>
> Soeren Dalby
>
> "Filip Larsen" <filip.larsen@mail.dk> wrote in message
> news:%OlX7.4554$aS.793930@news010.worldonline.dk...
> > Tage Nallan skrev
> >
> > > Når appletten loades, kommer der en advarsel der giver mulighed for at
> > > godkende appletten eller afvise den, men ingen mulighed for at stole
på
> > den
> > > i fremtiden. Advarslen kommer hver gang!
> >
> > Jeg mener som Brian, at det er fordi du benytter et testcertifikat der
> ikke
> > er underskrevet med noget certifikat i din browsers rodcertifikatliste,
> og,
> > at du enten må anskaffe dig et "officielt" certifikat eller importere et
> nyt
> > rodcertifikat i din rodcertifikatliste (som du så underskriver dit
> > testcertifikat med). Sidstnævnte er ok til testbrug, men til driftsbrug
> > kommer du nok ikke uden om et officielt certifikat.
> >
> >
> > Mvh,
> > --
> > Filip Larsen <filip.larsen@mail.dk>
> >
> >
>
>
| |
Tage Nallan (29-12-2001)
| Kommentar Fra : Tage Nallan |
Dato : 29-12-01 23:07 |
|
Okay,
Hvordan underskriver man ét certifikat med et andet?
Dette nye rodcertifikat som skal importeres i IE, og som mit testcertifikat
skal underskrives med, hvordan skal det oprettes? (hvilket program og
parametre)
Kan det virkelig være rigtigt at man er nødt til at købe et certifikat, for
at få lov til at udnytte applets fuldt ud? Jeg mener, man kan jo sagtens stå
i den situation at de mennesker som skal bruge appletten stoler på (og måske
kender) udvikleren. Det er vel situationen på mange private og virksomheders
intranet.
Filip Larsen <filip.larsen@mail.dk> skrev i en
nyhedsmeddelelse:%OlX7.4554$aS.793930@news010.worldonline.dk...
> Jeg mener som Brian, at det er fordi du benytter et testcertifikat der
ikke
> er underskrevet med noget certifikat i din browsers rodcertifikatliste,
og,
> at du enten må anskaffe dig et "officielt" certifikat eller importere et
nyt
> rodcertifikat i din rodcertifikatliste (som du så underskriver dit
> testcertifikat med). Sidstnævnte er ok til testbrug, men til driftsbrug
> kommer du nok ikke uden om et officielt certifikat.
>
>
> Mvh,
> --
> Filip Larsen <filip.larsen@mail.dk>
>
>
| |
Filip Larsen (01-01-2002)
| Kommentar Fra : Filip Larsen |
Dato : 01-01-02 18:48 |
|
Tage Nallan skrev
> Hvordan underskriver man ét certifikat med et andet?
> Dette nye rodcertifikat som skal importeres i IE, og som mit
testcertifikat
> skal underskrives med, hvordan skal det oprettes? (hvilket program og
> parametre)
Jeg har desværre kun prøvet disse ting under Linux for et par år siden (et
server certifikat til Apache), men hvis ikke andre har et bud kan du måske
finde noget hos microsoft på deres website eller i deres MSDN.
> Kan det virkelig være rigtigt at man er nødt til at købe et certifikat,
for
> at få lov til at udnytte applets fuldt ud? Jeg mener, man kan jo sagtens
stå
> i den situation at de mennesker som skal bruge appletten stoler på (og
måske
> kender) udvikleren. Det er vel situationen på mange private og
virksomheders
> intranet.
Jeg kan kun være enig, men så vidt jeg har erfaret med underskrevne
applet'er på IE, så vil browseren opfører sig som du tidligere har beskrevet
hvis ikke den kan verificere rod certifikatet. Det er i hvert fald præcis
det der sker når man fx. fra J++ beder om at få underskrevet sin cab med et
testcertifikat. Prøv evt. at lav en underskreven jar fil og så om det virker
under Netscape eller Opera.
Mvh,
--
Filip Larsen <filip.larsen@mail.dk>
| |
Ukendt (02-01-2002)
| Kommentar Fra : Ukendt |
Dato : 02-01-02 09:52 |
|
"Tage Nallan" <afleron@hotmail.com> skrev i en meddelelse
news:17rX7.6579$Zm5.722387@news000.worldonline.dk...
> Okay,
> Hvordan underskriver man ét certifikat med et andet?
> Dette nye rodcertifikat som skal importeres i IE, og som mit
testcertifikat
> skal underskrives med, hvordan skal det oprettes? (hvilket program og
> parametre)
>
Exporter/omdøb dit certifikat til .crt ( mycert.crt ) og dobbelt-click på
det i stifinderen, så skulle der gerne komme en boks op hvor du kan
installere dit certifikat ( med mulighed for at lægge det ind som et
rod-certifikat )
Certifikatet skal være oprettet med -selfcert i dit keystore. Husk at
bruge -validity ellers er dit certifikat kun gyldigt i 2-3 måneder.
> Kan det virkelig være rigtigt at man er nødt til at købe et certifikat,
for
> at få lov til at udnytte applets fuldt ud? Jeg mener, man kan jo sagtens
stå
> i den situation at de mennesker som skal bruge appletten stoler på (og
måske
> kender) udvikleren. Det er vel situationen på mange private og
virksomheders
> intranet.
>
Du kan sagtens bruge dit test-certifikat fra et keystore som rod-certifikat.
Husk dog på at det skal re-certificeres alle steder hvor du har lagt det
ind, på et eller andet tidspunkt, som angivet ved oprettelse.
Søren Staun Jørgensen
CADeye
> Filip Larsen <filip.larsen@mail.dk> skrev i en
> nyhedsmeddelelse:%OlX7.4554$aS.793930@news010.worldonline.dk...
> > Jeg mener som Brian, at det er fordi du benytter et testcertifikat der
> ikke
> > er underskrevet med noget certifikat i din browsers rodcertifikatliste,
> og,
> > at du enten må anskaffe dig et "officielt" certifikat eller importere et
> nyt
> > rodcertifikat i din rodcertifikatliste (som du så underskriver dit
> > testcertifikat med). Sidstnævnte er ok til testbrug, men til driftsbrug
> > kommer du nok ikke uden om et officielt certifikat.
> >
> >
> > Mvh,
> > --
> > Filip Larsen <filip.larsen@mail.dk>
> >
> >
>
>
| |
|
|