Discussion :

[Yonito]

Bonjour tous le monde,

Comme vous devez le savoir, depuis la version java 7 update 45 apparait en permanence une alerte de securite au chargement de chaque applet. Je vous met un exemple de l'alerte (trouvee sur internet) :


Sur les anciennes versions de java, il y avait l'option de toujours acceptez le chargement de l'applet (comme sur l'image en exemple). Mais maintenant sur la derniere versions, cette options n'est plus accessible.

J'ai recherché sur internet des solutions pour supprimer l'apparition permnente de cette alerte et toute les solutions se tournent vers l'ajout d'attribut dans le manifest de l'appplet a savoir :

Codebase: *
Permissions: all-permissions
Application-Library-Allowable-Codebase: *
Caller-Allowable-Codebase: *

mais lorsque je rajoute ces attributs, java me sort une erreur : "Could not verify signing ressource.."
Cette solution me parait bien simple pour contourner ce probleme.

Je cherche une solution car, dans le cadre de mon travail, nous avons developpé une application web utilisant plusieurs applet. Ce programme tourne a peu pret sur 300 magasins (multiplié par le nombre de PC par magasin) et les clients effectuent en permanence les mises a jours puis nous appellent a cause des alertes de securite qui les agacent.
Biensur il y a la possibilité de prendre un CA mais ce service est bien trop cher.

Si vous auriez une solutions a notre probleme, je vous en remercie

[OButterlin]

Je te rassure, tu n'es pas le seul dans ce cas... je présume que nous auront droit à une mise à jour de plus parce que c'est tout simplement pas possible de laisser ça en l'état... encore que, je suppose qu'on n'est pas nombreux à utiliser des applets... (en plus, html5 ne prend plus en compte la balise)

J'ai un comportement assez surprenant concernant une applet qui sert à imprimer directement un fichier pdf sur l'imprimante par défaut de l'utilisateur, en théorie, elle devrait être signée pour passer puisqu'elle utilise une ressource locale, ben non ! Elle passe sans

Bref, je cherche également, et si je trouve une solution, je te tiendrai informé.

[Yonito]

Salut Obutterlin, je te remercie de me tenir au courant dans le cas ou tu trouverais la solution.

pour lancer les applets en html5, on pourra en remplacement de <applet> utiliser <object>.

Pour ton applet d'imprimante, on en utilise une aussi (Jzebra) et sa requiert bien une autorisation de la part du client a chaque connexion (sous java7u45).
Cependant sur le site officiel de l'applet il est possible de telecharger un fichier certificat a inserer dans le control panel de java. Mais bon cette solution est sympa pour quelques ordis, mais on ne se voit pas faire sa sur 500.

Merci en tout cas

[jdevbe]

l'avertissement de sécurité que pour code code java non signé ou dont le certificat n'a pas été validé par l’utilisateur.
Il est possible d’utiliser une CA privée (générée via openssl par exemple) et indiquer aux utilisateurs de valider les certificats signé par la CA "nom de la CA", empreinte MD5 est égale à "empreinte de la CA".
Une fois validé, l’avertissement n’apparaitra plus.

[tchize_]

Ce programme tourne a peu pret sur 300 magasins

Biensur il y a la possibilité de prendre un CA mais ce service est bien trop cher.

Cherchez l'erreur. 1$/magasin/an (en version "chère") pour certifier qu'on ne pourra pas les pirater. C'est pas une applet d'amateur que vous faites, c'est une applet qui sert dans un business, la moindre des chose aurait été de prendre un certificat il y a bien longtemps, pour éviter de laisser les magasins face à des trous de sécurité.

Vous prenez un certificat signé par une autorité compétente, et l'utilisateur aura la possibilité d'accorder les droits une fois pour toutes à toutes les applications signées par ce certificat. Ca ne popera qu'une fois tous les 3 ans quand vous changerez le certificats.

On peux faire la même chose avec des certificats autosignés... Mais bonjour le risque.

[jdevbe]

On peux faire la même chose avec des certificats autosignés... Mais bonjour le risque.

Si un certificat signé par une CA commerciale peut paraitre sérieux il n’offre pas moins de risque pour l’utilisateur que celui signé par un CA privée qu'il a validé avec sérieux. Les CA commerciale ne valide nullement le code signé...

[tchize_]

Et l'utilisateur, il fait comment pour savoir que l'autosignature est celle que les developpeurs ont émis, et pas celle d'un logiciel tiers malveillant? Tu va lui dicter un à un au tél tous les caractères du md5? Rien ne ressemble plus à une applet autosignée qu'un autre applet autosignée.

C'est le rôle du CA, d'attester non pas de la sécurité du code, mais de son auteur. Ainsi tu peux dire à tes employé d'approuver le certificat émis au nom de la société. Maintenant, tu peux mettre un PKI en interne si tu veux, mais vu qu'un certificat chez un PKI public coute dans les 175€/an, ca ne vaut en général pas l'investissement.

Tu peux aussi prendre un certificat autosigné, et demander à un admin de l'ajouter dans la liste des trusted certificates. Encore une fois, ça bouffe du temps.

[Yonito]

Merci pour les differents reponses apportees.

l'avertissement de sécurité que pour code code java non signé ou dont le certificat n'a pas été validé par l’utilisateur.
Il est possible d’utiliser une CA privée (générée via openssl par exemple) et indiquer aux utilisateurs de valider les certificats signé par la CA "nom de la CA", empreinte MD5 est égale à "empreinte de la CA".
Une fois validé, l’avertissement n’apparaitra plus.

Avec cette solution, il n'y aura aucune manipulation a faire du cote client a part la validation pour toujours lors de l'apparition de l'alerte java ?

[chatis]

Je suis très intéressé par cette solution aussi !!

Car j'ai le même problème depuis la mise à jour : Quelqu'un à une marche à suivre à me proposer ?? car mon applet utilise plugin.jar pour interagir avec ma page web (et je ne pense pas qu'elle sera signée un jour) Puis-je la signer moi même ? Et elle utilise également une autre Jar non signée par une entreprise professionnel.. Puis-je la signer moi même ou je dois leur demander de signer leur JAR ? Et finalement, Avez-vous une marche à suivre à me proposer pour signer mes jar et rajouter les attributs demandé dans chaque manifest ?? Car ma JAR n'est utilisée que par très peu d'ordinateur et je peux facilement mettre un certificat sur chaque ordi... Mais je ne sais vraiment pas ce que je dois faire maintenant pour enlever ces erreurs ??

[chatis]

l'avertissement de sécurité que pour code code java non signé ou dont le certificat n'a pas été validé par l’utilisateur.
Il est possible d’utiliser une CA privée (générée via openssl par exemple) et indiquer aux utilisateurs de valider les certificats signé par la CA "nom de la CA", empreinte MD5 est égale à "empreinte de la CA".
Une fois validé, l’avertissement n’apparaitra plus.

J'ai pas mal avancé... J'ai même réussi à faire une clé privée et public et installer le certificat et toutes les permission nikel... Mais par contre j'ai toujours le message d'erreur que mon certificat n'est pas sécurisé et que le nom d'éditeur n'est pas vérifié.

Il y a un moyen de faire cela gratuitement ? Je peux installer des certificats chez le client sans problème..