Discussion :

[tchize_]

Payer (et de manière récurrente en plus) un certificat n'a rien de trivial pour un jeune développeur ou un petit studio qui débute.

Autant pour un dev qui fait ça pour le fun, je comprends le problème. Autant un studio incapable de sortir 12€/mois pour un certificat qui permet de signer tout ce qu'il fait, il a de sérieuses questions à se poser sur sa viabilité.


@Uther: let's encrypt, c'est pour des certificats SSL. Les certificats de signature de code ont des niveaux d'exigence bien plus élevés. Et c'est bien heureux, on n'a pas envie que KevinHax0r fasse tourner n'importe quoi sur le browser de madame michu.


@gerard66: encore une fois, rien ne t'oblige à la distribuer par javawebstart. Ca facilite juste un peu la vie de l'utilisateur, mais les utilisateurs savent très bien installer aussi l'application en desktop. Y a qu'à voir le nombre de crasses installées sur les pcs qu'on doit supporter dans la famille pour comprendre ça

[tomlev]

Un certificat auto-signé, non, mais il doit être possible d'installer des certificats gratuits de type de "Let's encrypt". Et puis généralement c'est le client qui va payer pour le certificat, pas le développeur

Non, Let's Encrypt c'est uniquement des certificats SSL de site ; ils ne sont pas utilisables pour la signature de code.

(oups, grillé par _tchize)

[bouye]

Autant pour un dev qui fait ça pour le fun, je comprends le problème. Autant un studio incapable de sortir 12€/mois pour un certificat qui permet de signer tout ce qu'il fait, il a de sérieuses questions à se poser sur sa viabilité.

Un studio qui débute c'est pas forcement un truc qui roule sur l'or et a deja un cahier de commandes bien remplis................. Ça peut être juste 3 devs débutants qui ont décidé de monter leur boite.

Et même dans le monde bien établi, rien ne se fait aussi simplement. Moi j'ai du batailler 5 ans avec mes chefs de direction pour espérer avoir les malheureux $300 pour payer un certif valide pour 3 ans pour tenter de publier un truc sur JWS sans effrayer les utilisateurs. Et rebatailler 3 ans apres pour le faire se renouveler (6 mois en retard... )

Welcome IRL, l'endroit ou sortir des sous c'est pas si simple que ça.

EDIT - a noter que le problème se pose a l'identique pour le port Mac / iOS d'app OpenSource puisqu'il faut que quelqu'un accepter de payer de sa poche un certif dev Apple de $100/an pour avoir un certificat et espérer pouvoir être publié sur l'app store. Donc ce genre de soucis n'est pas uniquement propre a Java.

[Traroth2]

merci
c'est bien ce que j'avais compris donc exit pour moi le développement java pour grand public.

Seulement si tu passes par Web Start. En même temps, pour du grand public, faire certifier un minimum ce que tu balances, ça parait pas délirant, si ? Les utilisateurs de base ne vont pas sur GitHub, hein...

[Uther]

Un studio qui débute c'est pas forcement un truc qui roule sur l'or et a deja un cahier de commandes bien remplis................. Ça peut être juste 3 devs débutants qui ont décidé de monter leur boite.

Désolé mais si tes trois programmeurs comptent vivre de leurs projet et ne peuvent pas dégager une dizaine d'euros par mois pour assurer la distribution de leur projet, C'est peut être mieux pour eux qu'ils ne commencent pas, parce que je m'inquiète vraiment pour leur Business plan.

Le vrai problème c'est plutôt les développeurs totalement amateurs qui ne prévoient pas de faire de l'argent avec leur application.

[RyzenOC]

Personnellement ce genre de modèle économique ne m'a jamais attirés, être obligé de certifier un logiciel ou le mettre dans un store en payant non merci.

Je préfère continuer à distribuer mes exécutables.

[Uther]

Disons que la signature est certes une contrainte finacière, mais elle a le mérite d'être neutre. Contrairement à l'Apple Store, qui se permet de choisir ce que tu as le droit d'installer sur iOS ou non.

[_skip]

Personnellement ce genre de modèle économique ne m'a jamais attirés, être obligé de certifier un logiciel ou le mettre dans un store en payant non merci.

Je préfère continuer à distribuer mes exécutables.

C'est parce que tu fais pas le bon calcul.

Même si on prend l'option avec certificat payant, 70-100$ pour accéder à un système de déploiement et d'auto-update solide et multi-plateforme ça peut tout à fait se justifier. Il suffit de s'être rendu chez les clients avec sa clé USB ou son CD pour passer des mises à jour sur 15 postes 1 par 1, puis d'avoir calculé ce que ça coûte.

Ce montant initial, sur le coût d'un développement c'est rien. C'est un obstacle seulement pour les petits projets sans ambition économique. Puis le problème initial avec les stores, c'est que si tu choisis de t'en passer, tu choisis aussi grosso-modo de te passer de leur public. Moi aussi je peste contre le tout-web, le javascript, mais pourtant je suis de plus en plus obligé d'en faire, parce que c'est mon seul recours.

Faut faire très attention à pas laisser des critères idéologiques enfumer l'esprit. Un montant dans les 100 euros, pour un professionnel, c'est 1h de dév, donc le ROI peut être vite là.

[OButterlin]

Disons que la signature est certes une contrainte finacière, mais elle a le mérite d'être neutre. Contrairement à l'Apple Store, qui se permet de choisir ce que tu as le droit d'installer sur iOS ou non.

Ça me paraît normal, comment contrôler la qualité des applications sans ce droit de regard ?

A l'inverse, Android ne contrôle rien est c'est une source de malware pour tout le monde... ce qui discrédite la plateforme entièrement.
Qui a envie de prendre le risque de se pourrir son smartphone lorsqu'il télécharge une application ?

[Ithildine]

Java Web Start... Oracle pourrait peut-être ensuite nous dire une bonne fois pour toute ce qu'il compte faire pour l'IHM de type client riche. Swing est mourrant, JavaFx voit jour après jour son lot d'annonces contradictoires ou d'abandon de plateforme. Bref, nous, on est passé de Java Web Start à GWT... en attendant peut être de passer à Angular. Ce serait bien qu'Oracle marque un peu plus de respect pour les développeurs en assurant un suivi un peu plus sérieux de ses technos Java.

[levolutionniste]

Java web start réponds surtout à la problématique de déploiement d'application client lourd (stand alone). On se tourne souvent vers des applications java web pour fuir les multiples déploiements lors de l'installation sur plusieurs postes clients.
Avec une page web contenant un lien, tous les utilisateurs de l'application n'ont plus qu'à accéder à la page web (soit via internet, soit par intranet) contenant le lien vers l'application et télécharger le fichier JNPL. Et voilà comme expliqué plus haut l'application sera télécharger depuis le poste Application Serveur vers le poste du client.

Il faut évidemment que le client est préalablement installé java sur son PC.
De plus à chaque démarrage, au moyen du fichier JNPL, l'application vérifiera elle même s'il y a des mises à jour à faire.

Du coup selon moi c'est surtout pour facilité le déploiement des applications java en client lourd (stand alone).

[Uther]

Ça me paraît normal, comment contrôler la qualité des applications sans ce droit de regard ?

A l'inverse, Android ne contrôle rien est c'est une source de malware pour tout le monde... ce qui discrédite la plateforme entièrement.
Qui a envie de prendre le risque de se pourrir son smartphone lorsqu'il télécharge une application ?

Sauf que la présence de malware n'est qu'un des très nombreux critères de refus. Apple se réserve le droit d'interdire les applications sur des critères très subjectifs comme les technologies utilisées, la concurrence, le respect de mœurs...
Et contrairement à ce que tu penses, le Play Store surveille tout autant que les applications soumises ne soient pas des malwares, et il contrôle aussi l'atteinte aux mœurs, bien que ses critères soient plus souple.

[ddoumeche]

On s'écarte un peu de la problématique, il ne s'agit pas de comparer applications desktop et applications web.
La problématique des plugins et en particulier du plugin java pour une application web est entière : comment contourner les lacunes html/javascript ?
L'applet est (et donc "était" si on supprime les plugins) une solution très intéressante voir incontournable. Il ne s'agit pas de mettre une applet là où on peut faire en html/javascript... pas plus qu'il ne s'agirait de faire une application web pour gérer un robot...

Flash ?
Unity3D ?
Aujourd'hui comme hier, je pense que si vous avez besoin d'une applet pour une fonctionnalité, il faut revoir la conception de votre application, ou passer un à client lourd.

Le robot pourrait être géré par votre client web mais ce n'est pas conçu pour faire cela à l'origine, pas plus que Word.
Pas plus que ce n'est conçu pour faire de la conception 3D ou des jeux.

[OButterlin]

Flash ?
Unity3D ?
Aujourd'hui comme hier, je pense que si vous avez besoin d'une applet pour une fonctionnalité, il faut revoir la conception de votre application, ou passer un à client lourd.

Ce genre d'approche revient à dire qu'on n'utilise une application web que pour du contenu web... personnellement, je trouve ça dommage...
On peut très bien avoir des applications de gestion sur le web qui ponctuellement, ont besoin d'accéder à une ressource locale. Remettre en cause tous les avantages des applications web parce qu'on se refuse une applet signée, c'est juste hallucinant.

Faire un client lourd (surtout java), c'est exposer les méthodes d'accès au système d'information, aux algorithmes, etc... sans compter qu'en performance, ça risque d'être assez désastreux... je ne parle même pas des installations sur des machines/OS différents...

Après, chacun ses expériences... chez nous, on fait des applications RIA pour tous les membres de nos sociétés éparpillés un peu partout dans le monde avec un parc totalement hétérogène... Personne à la DSI ne conçoit de revenir sur du client lourd.

[bouye]

Ce genre d'approche revient à dire qu'on n'utilise une application web que pour du contenu web... personnellement, je trouve ça dommage...

D'autant plus qu'on pourrait très bien retourner l'argument contre Java lui-même puisqu’à l'origine, ce dont peu de gens se souviennent, cette technologie (oak) n'avait été développée que pour permettre de programmer des boîtiers interactifs placés sous les TV US (chose qui ne décollera vraiment qu'une 15aine d'années plus tard et pas sous Java). On est très loin des serveurs JEE, des clients lourds ou même d'Android...

[ddoumeche]

Ce genre d'approche revient à dire qu'on n'utilise une application web que pour du contenu web... personnellement, je trouve ça dommage...
On peut très bien avoir des applications de gestion sur le web qui ponctuellement, ont besoin d'accéder à une ressource locale. Remettre en cause tous les avantages des applications web parce qu'on se refuse une applet signée, c'est juste hallucinant.

Faire un client lourd (surtout java), c'est exposer les méthodes d'accès au système d'information, aux algorithmes, etc... sans compter qu'en performance, ça risque d'être assez désastreux... je ne parle même pas des installations sur des machines/OS différents...

Après, chacun ses expériences... chez nous, on fait des applications RIA pour tous les membres de nos sociétés éparpillés un peu partout dans le monde avec un parc totalement hétérogène... Personne à la DSI ne conçoit de revenir sur du client lourd.

Tout dépend de ce que l'ont fait,je n'ai pas dit qu'il fallait migrer tous les applications Web en Java Web Start.
Java est normalement portable donc au lieu de tester sur différent navigateurs, vous testez sur différentes machines/OS.
Et rien n'interdit que le client lourd ne reste qu'un client, se connectant à un serveur via RMI ou autre, ce qui vous fournit la confidentialité demandée.

Quel genre d'accès aux ressources avez-vous besoin ?

[Logan Mauzaize]

Houlà ! Beaucoup de fausses idées ici et là ...

Java Web Start est une technologie de déploiement d'applications Java. Le client exécute (via "javaws") un fichier JNLP (Java Network Launch Protocol). Ce dernier est un simple fichier XML qui décrit le lancement de l'applications (contraintes JVM, options JVM, ressources, librairies et paramètres). JWS gère alors la mise en cache, les mises à jours et la sécurité.


Application VS déploiement sécurisé : Il faut comparer ce qui est comparable. Distribuer un .exe nécessite soit à l'application, soit aux utilisateurs de gérer les mises à jours. Et l'aspect sécurisé est inexistant. Par exemple, impossible de certifier la conformité (non altération, auteur, etc.) de l'application.
Si tu fournis des extensions (ou si qqn trouve le moyen d'altérer ton programme), impossible de limiter les dégâts qu'il peut causer.

Client lourd VS Web : Avoir un client lourd n'empêche pas de communiquer avec un serveur, et pourquoi pas REST. Un client lourd, une application mobile et un client JavaScript "MVC" (Angular, React, Ember, etc.) peuvent attaquer le même serveur. Donc d'un point de vue architecture, il n'y a pratiquement aucune différence.

Communication entre deux types de client : Il n'y a que le serveur qui puisse servir de relai "fiable". Et rien n'empêche de générer dynamiquement les paramètres du JNLP. Rien n'oblige à partager le même ID de session, il peut s'agir (et je le recommande) d'un autre "identifiant" temporaire (ex : UUID générer dynamiquement pour cette transaction en particulier). Le serveur agira alors comme un intermédiaire (à l'image d'un middleware).
Une autre possibilité est d'utiliser les "protocoles" d'une URL. En effet, une application peut-être associée à un protocole et recevra donc les ouvertures d'URL portant sur ce protocole. Des applications comme Steam, ChromeApps, Spotify, etc. utilisent ce mécanisme.
Ouvrir un serveur Web en local nécessite que le port soit disponible et l'application autorisée à l'ouvrir. Et comme indiqué être proscrit par le navigateur lui-même.

Sécurité : De ce que j'ai lu les JARs doivent être signés avec un certificat X.509 (je n'ai pas vu de contraintes sur l’encryption utilisé). La plupart des vendeurs de domaine inclus un certificat X.509 dans leur package.

JWS VS Applet : La principale fonctionnalité perdue est la communication avec la page hôte. Pour le reste c'est au minimum mieux. Donc AWT, Swing ou JavaFX ne perde rien (bien au contraire) à passer sous JWS plutôt que les Applets. Cet argument est complètement en dehors du problème.
Le second point qui peut poser problème c'est l'intégration avec les navigateurs. La plupart des navigateurs ne permettent plus "l'ouverture" directe d'un fichier. Il faut d'abord le télécharger et ensuite l'ouvrir. Cela n'est pas bloquant mais c'est parfois frustrant.

SmartCard : C'est le grand perdant des problèmes de sécurité, ce qui est assez ironique pour une solution de sécurité ... Apparemment il y aurait des travaux avec webcrypto. Mais visiblement, il n'existe pas vraiment de solutions, sauf peut-être les "apps" sous navigateur avec support de l'USB.
Les solutions qui se profilent actuellement s'orientent plutôt vers des portails et du partage d'autorisation (ex: OAuth). Les informations seraient alors fournis par un tiers et charge à ce tier de fournir un support d'authentification par support physique (fingerprint, smartcard, lecteur de piste, dongle, etc.). Encore que le système de token soit plus apprécié (plus fiable, je demande à voir).


(si je me trompe, je compte sur vous pour me corriger ^^)

Approuvez-vous la décision d'Oracle ?

Mouais, c'est un peu "Captain Obvious" comme dirait l'autre. Beaucoup de gens envisagent depuis longtemps de se passer de plugins. Après il y a des usages qui ne seront plus possibles, c'est dommage. Mais le plus dommage c'est qu'il n'y ait pas de réels travaux sur ce sujet.

Que pensez-vous des applets Java par rapport à la technologie Java Web Start ?

Je dirais que les deux technologies n'ont pas les mêmes vocations. La première permet de lancer une application Java qui communique avec la page hôte, l'autre une solution de déploiement d'applications Java ...

La date de sortie de JDK 9 sera-t-elle reportée à 2017 ? Reinhold demande un délai supplémentaire de six mois pour finaliser Jigsaw

Le report à Mars 2017 a été annoncé officiellement le 09 décembre 2015, il n'y a pas eu de news sur ce sujet ?

[bouye]

Le report à Mars 2017 a été annoncé officiellement le 09 décembre 2015, il n'y a pas eu de news sur ce sujet ?

Si si il y en a eut.

[Michael Guilloux]

Java : Oracle va marquer l’API Applet obsolète dans le JDK 9
mais n'a pas l'intention de la supprimer de sitôt

Il est bien évident que nous sommes actuellement à la fin de l’ère des plugins même si ces technologies sont encore utiles et beaucoup utilisées. De nombreux éditeurs de navigateurs, notamment Microsoft, Google et Mozilla, ont soit supprimé le support des plugins ou annoncé un calendrier pour le faire.

Dans les derniers efforts dans le sens de se débarrasser des modules d’extension dans les navigateurs, Apple a annoncé une expérience utilisateur par défaut sans plugin dans Safari 10 sous macOS Sierra. Les plugins Java, Flash, Silverlight, entre autres, seront donc désactivés par défaut dans son navigateur, pour donner la priorité à HTML5. Google et Mozilla ont également suivi avec de nouvelles mesures visant à bloquer Flash dans leurs navigateurs.

Il est donc clair que les éditeurs ne veulent plus de plugins dans leurs navigateurs. Voyant la possibilité d’intégrer les technologies basées sur les plugins en train d’être éliminée, Oracle a alors décidé de suivre le mouvement vers une expérience web sans modules d’extension. Au début de cette année, le géant des bases de données a en effet annoncé son intention de passer à un Web sans plugin, avant de recommander aux développeurs de migrer des applets Java vers la technologie Java Web Start. Lors de l’annonce, Oracle avait prévu que son plugin Java de navigateur devienne obsolète dans le JDK 9.

Oracle a récemment expliqué dans le JEP (JDK Enhancement Proposal) -- un processus élaboré par la société pour recueillir des propositions d'améliorations pour le JDK et OpenJDK -- comment cela sera mis en œuvre. Il s’agira de marquer l'API Applet obsolète dans le JDK 9 en ajoutant l’annotation @Deprecated(since="9") aux classes suivantes :

• java.applet.AppletStub ;
• java.applet.Applet ;
• java.applet.AudioClip ;
• java.applet.AppletContext ;
• javax.swing.JApplet.

Oracle explique que « ces annotations vont provoquer des avertissements de dépréciation qui seront émis par le compilateur Java pour tout code qui utilise cette API. Si les avertissements sont traités comme des erreurs, ils entraîneront l'échec de la compilation ».

L'obsolescence n’étant pas synonyme d'abandon, l’API Applet devrait encore exister dans JDK 10 et peut-être au-delà de cette version. Oracle explique en effet ne pas avoir l’intention de la supprimer dans la prochaine version majeure : « Nous ne voulons pas supprimer l'API Applet dans la prochaine version majeure, donc nous n'allons pas spécifier forRemoval = true dans ces annotations. Si plus tard, nous proposons de supprimer cette API nous allons ajouter forRemoval = true à ces annotations au moins une version majeure à l'avance. » Autrement dit, l’API Applet ne devrait pas être supprimée dans JDK 10 sinon, Oracle aurait ajouté forRemoval = true dans ces annotations. En précisant « au moins une version majeure à l'avance », cela ouvre surtout une porte pour permettre à l'API Applet de survivre bien au-delà du JDK 10.

Il faut également noter que appletviewer deviendra également obsolète, avec des avertissements qui seront affichés au démarrage de l'outil.

Mise à jour le 27 / 08 / 2016 : Oracle explique que @Deprecated ne signifie pas que l’élément qui porte cette annotation sera supprimé de Java SE

Dans une proposition d’amélioration pour le JDK Oracle et l’OpenJDK (JEP 277), Oracle revient sur la signification de @Deprecated, en expliquant que cela ne signifie pas que l’élément qui porte cette annotation sera nécessairement supprimé. Une API peut porter l’annotation @Deprecated pour au moins l’une des raisons suivantes :

• l’API a un problème qui est impossible de fixer ;
• l’utilisation de l’API est susceptible de conduire à des erreurs ;
• l’API a été remplacée par une autre API ;
• l’API est obsolète ;
• l’API est expérimentale et est sujette à des changements incompatibles.

Mais comme cela est expliqué dans le JEP 277, il y a confusion au sujet du sens et de l’usage de cette annotation. « Un élément de programme annoté @Deprecated est un élément que les programmeurs ne sont pas encouragés à utiliser, généralement parce qu’il est dangereux, ou parce qu’une meilleure alternative existe ». Le but est de communiquer des informations sur le cycle de vie des API en question afin d’encourager les développeurs à faire migrer leurs applications et ne plus créer de nouvelles dépendances avec ces API.

« L’annotation @Deprecated a finalement fini par être utilisée à plusieurs fins différentes. Très peu d’API marquées @Deprecated ont été effectivement supprimées, ce qui conduit certaines personnes à croire que rien ne sera jamais supprimé. D’autre part, d’autres gens croyaient que tout ce qui a été déprécié pourrait éventuellement être supprimé, ce qui n’a jamais été l’intention non plus. Il en est résulté un message peu clair délivré aux développeurs sur le sens de @Deprecated, et ce que les développeurs doivent faire quand ils utilisent une API dépréciée. Tout le monde était confus au sujet de ce que la dépréciation signifiait réellement, et personne ne l’a pris au sérieux. Cela a en retour rendu difficile de supprimer quoi que ce soit de Java SE. »

C’est la méthode forRemoval(), qui retourne un booléen, qui permettra donc de savoir si oui ou non, Oracle a l’intention de supprimer un élément annoté @Deprecated. Si la valeur est True, cela signifie que cet élément est destiné à être supprimé dans une version ultérieure. Si la valeur est False, l’élément est désapprouvé ou déprécié, mais il n’y a actuellement aucune intention de le supprimer dans une version ultérieure. La valeur par défaut de forRemoval() est False.

Source : OpenJDK (Java.net)

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Sans surprise, Oracle va repousser la date de sortie de Java EE 8, mais envisage de livrer une édition de Java SE chaque année
Oracle brise le silence et rassure au sujet de Java EE, la firme pourrait dévoiler un nouveau plan pour la plateforme à la JavaOne en septembre
Des partisans de Java EE soutenus par Red Hat et IBM décident de poursuivre leur propre développement de la plateforme, indépendamment d'Oracle

[Uther]

Rien de surprenant : Java ne supprime normalement jamais d'éléments de la bibliothèque standard. Elle se contente de les déprécier. Il y a des classes et méthodes dépréciées depuis toujours et qui sont toujours là.

De toute façon c'est plus du coté du support des plugins que du JDK que se décidera la vraie date de mort des Applets.