Discussion :

[samus35]

Bonjour,

je fais face aux dernieres modifications en terme de sécurité par Oracle sur Java.

Je retrouve cette alerte lorsque le jnlp télécharge l'application : http://www.java.com/fr/download/help...xml#selfsigned


J'ai pensé que c'était donc la signature du jar qui posait soucis.

J'ai donc appliqué à la lettre ceci de la faq : http://java.developpez.com/faq/java/...#signature_jar

Hélas, le message d'alerte survient toujours.
Si j'ai bien compris il se plains de ne pas avoir d'éditeur connu, ainsi que l’attribut des droits d'accès dans le manifest.
Je ne sais pas comment renseigner ni l'un ni l'autre e tn'ai pas trouvé beaucoup de piste sur "comment faire".

Merci pour toute information qui pourrait me guider.
Bonne journée.

[Yonito]

http://www.developpez.net/forums/d13...erte-securite/

[samus35]

Bonsoir, notre erreur semble commune, mais je n'en ai pas l'impression.(après, je peux me planter hein )

Ce qui est mis en cause dans mon application, c'est la nom présence d'un éditeur et d'informations de droits d'accès dans le manifest.

Ce n'est pas forcément lié à un certificat comme je le pensais de prime abord.

d'autant plus, il est possible d'avoir des certificats auto-signés.
J'ai réalisé la manipulation :
http://www.digicert.com/code-signing...ning-guide.htm
https://www.digicert.com/easy-csr/keytool.htm
Sans hélas de résultat probant. (toujours la meme alerte).

Ma question "con" est donc comment préciser des informations dans le manifest ?
En écrivant "en brut" dans netbeans, il me met des erreurs.

[PoichOU]

Hello,

Si j'ai bien compris il se plains de ne pas avoir d'éditeur connu, ainsi que l’attribut des droits d'accès dans le manifest.
Je ne sais pas comment renseigner ni l'un ni l'autre e tn'ai pas trouvé beaucoup de piste sur "comment faire".

Le code suivant te permet de rajouter les éléments manquants dans le manfiest (tu utilises maven j'imagine):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-jar-plugin</artifactId>
<version>2.4</version>
<configuration>
<archive>
<manifestEntries>
<application-version-number>1.0</application-version-number>
<Permissions>all-permissions</Permissions>
<Codebase>*</Codebase>
<Application-Name>Nom de ton application</Application-Name>
</manifestEntries>
</archive>
</configuration>
</plugin>

Après je ne sais pas si cette modification suffit ou si la politique de sécurité Oracle ne va pas obliger à utiliser un certificat

A+
PoichOU

[samus35]

Bonjour,
pour corriger le tir, j'avais 2 soucis :
-Le certificat dont Yonito a filé un lien vers un sujet.
J'ai opté pour un certificat autosigné.
Il m'a fallut créer un keystore (et un certificat) grace à keytool (petit programme inclut dans le JDK)
http://docs.oracle.com/javase/6/docs...s/keytool.html
Puis ensuite signer un jar grace au keystore créé et de jarsigner :
http://docs.oracle.com/javase/6/docs...jarsigner.html (inclut dans le jdk lui aussi)

- Afin, j'avais aussi un manque d'attributs (comme le signalait PoichOU) dans le manifest, notamment "permission" ajouté depuis 7u25 si je ne me trompe pas.

En espérant que ces infos permettent à d'autres de résoudre leur soucis.
A+ et merci.

[PoichOU]

Salut samus35,

Concernant le 1er point, es-tu sur qu'un certificat auto signe ne va pas afficher un message d'avertissement à chaque demarrage ?
Il me semble qu'il est nécessaire de passer par une autorité non ?

Concernant le 2nd point, peux-tu me dire comment tu as gèré les jar que tu utilises en dépendance (on a tjs une ou deux librairies dans ce genre de projet) ?

Merci
PoichOU