Discussion :

[fmh1982]

Bonjour,

j'ai une application web (intranet) avec une applet java qui doit accéder à des fichiers partagés dans l'arborescence.
Tout fonctionne bien, l'applet est signée, mais j'ai un problème de sécurité pour accèder à ces fichiers.

java.security.AccessControlException: access denied (java.io.FilePermission <<ALL FILES>> execute)

si je change le fichier java.policy côté client ça marche , mais le problème je ne veux pas faire ça pour 220 machines.

j'ai crée un fichier applet.policy pour l'attacher avec mon .jar mais ça ne marche pas. sinon où je dois mettre ce fichier applet.policy.

si quelqu'un a une solution côté serveur je suis preneur.

Merci

[tchize_]

Normalement la signature des jars de ton applet devrait suffire, pas besoin de fichier applet.policy. Tu a vérifié que tous les jars sont bien signés avec la meme clé? Et qu'il n'y a pas de signature en double.

[fmh1982]

en fait l'applet fonctionne très bien avec par exemple un bouton(swing) qui ouvre un lien de fichier depuis un textfield(swing) dans l'applet mais si je veux faire la même chose depuis un lien dans la page web c'est la que le problème se pose.
car mon lien exécute une fonction public dans l'applet avec du javascript.

[tchize_]

ha oui, si t'as du javascript dans le stack, c'est foutu! Enfin presque, reste un truc pour contourner (jamais testé). Tu crée un nouveau thread et tu fait l'appel dans ce thread, comme ca tu repart avec un stack tout propre. Si t'as du javascript dans la pile d'appel stack, le code n'est plus considéré comme secure et donc n'a plus de droit. Ca evite que des site malicieux détournent des appelts signées pour leur faire faire n'importe quoi de pas prévu.

[fmh1982]

j'ai mis ce code dans le fichier java.policy mais ne marche pas

grant codeBase "http://localhost:3000/-" {

permission java.io.FilePermission "<<ALL FILES>>", "execute";

};

le but c de donner seulement à l'app sur l'intranet d'accéder au fichiers

avec les threads ça ne marche pas puisque j'ai aussi des erreurs de sécurité

[tchize_]

tant que tu passera par du javascript pour effectuer un appel à une méthode, le modèle de sécurité de la jvm en concluera que l'appel n'est pas sécurisé -> tu aura une interdiction de bidouiller les fichiers. C'est la pour une raison toute bete la page web et le javascript ne peuvent techniquement pas être signés -> pas de confiance dedans.

[fmh1982]

alors pourquoi ceci fonctionne

grant {

permission java.io.FilePermission "<<ALL FILES>>", "execute";

};

et pas ceci

grant codeBase "http://localhost:3000/-" {

permission java.io.FilePermission "<<ALL FILES>>", "execute";

};

[tchize_]

parce que le grant global, il fait bien ce que tu lui demande, il attribue les droits "quel que soit l'origine ou les conditions du code", donc il passe outre le fait qu'il y aie du javascript dans la pile d'appel. Mais si je ne me trompe pas, tu ne peux faire ce genre de droit que dans le fichier policy de la machine, et ca va avoir comem conséquence que, sur cette machine, tu autorise n'importe quelle applet venant de n'importe ou de faire un execute sur tes fichiers. Bref ca sent le trou de sécurité.