Quelle est l'utilité des permissions sandbox ?

Version imprimable

Bonjour.

Je n'ai que peu de connaissances en matière de permissions pour les applets.
Je maintiens un site où des applets sont présentes; elles sont auto-signées, mais ne requièrent, sur le plan de la sécurité, que des autorisations "sandbox". Tout ça est bien entendu consigné dans le fichier MANIFEST du jar signé. :ccool:
Mon plug-in java est positionné sur un niveau de sécurité "élevé" et non "moyen" ou "très élevé", et pourtant le plug-in refuse de lancer mes applets. :cry:
Quelqu'un pourrait-il m'expliquer s'il y a un moyen simple pour qu'une applet ne requérant que des autorisation "sandbox" puisse tourner n'importe où, vu qu'elle est fatalement inoffensive ?

Merci d'avance.:D

P.S.: Voici ce que me sort java lorsque je tente de lancer une de mes applets:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
com.sun.deploy.security.BlockedException: Vos paramètres de sécurité ont bloqué l'exécution d'une application sandbox auto-signée
	at com.sun.deploy.security.SandboxSecurity.showBlockedDialog(Unknown Source)
	at com.sun.deploy.security.SandboxSecurity.checkSignedSandboxSecurity(Unknown Source)
	at com.sun.deploy.security.SandboxSecurity.isPermissionGranted(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.isTrustedByTrustDecider(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.getPermissions(Unknown Source)
	at sun.plugin2.applet.Applet2ClassLoader.getPermissions(Unknown Source)
	at java.security.SecureClassLoader.getProtectionDomain(Unknown Source)
	at java.security.SecureClassLoader.defineClass(Unknown Source)
	at java.net.URLClassLoader.defineClass(Unknown Source)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
	at java.lang.reflect.Method.invoke(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.defineClassHelper(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.access$100(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader$1.run(Unknown Source)
	at java.security.AccessController.doPrivileged(Native Method)
	at sun.plugin2.applet.Plugin2ClassLoader.findClassHelper(Unknown Source)
	at sun.plugin2.applet.Applet2ClassLoader.findClass(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass0(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Unknown Source)
	at java.lang.ClassLoader.loadClass(Unknown Source)
	at sun.plugin2.applet.Plugin2ClassLoader.loadCode(Unknown Source)
	at sun.plugin2.applet.Plugin2Manager.initAppletAdapter(Unknown Source)
	at sun.plugin2.applet.Plugin2Manager$AppletExecutionRunnable.run(Unknown Source)
	at java.lang.Thread.run(Unknown Source)

01/02/2014, 19h29
tchize_

Elevé: non signé et auto signé ne seront pas autorisées à être exécutée sur des versions de java plus anciennes => Garder java à jour si tu veux lancer de l'auto signé en mode élevé.

Note: le paramètre sandbox n'entre pas en jeu ici. Le but est d'éviter autant que possible de faire tourner discretement des applets utilisant des trous de sécurité potentiel. Et un trou, ça peux s'exploiter dans la sandbox ;)
01/02/2014, 21h32
amauryxiv

Bonsoir tchize_.

C'est ce que tu m'as déjà dit sur un autre fil (ici).

Mais :
1) Je n'ai pas trouvé cette définition du mode élevé.
2) La version java de mon navigateur est la 1.7.0.51, soit la dernière.

Donc je ne comprends pas trop ce que tu veux me dire ...

Merci pour ta réponse.
01/02/2014, 23h04
tchize_

Citation:

Envoyé par amauryxiv

1) Je n'ai pas trouvé cette définition du mode élevé.

Pourtant, c'est ce qui est marqué en bas dans le panneau de configuration java quand tu met le curseur sur "élevé", faut pas chercher loin :)

Citation:

Envoyé par amauryxiv

La version java de mon navigateur est la 1.7.0.51, soit la dernière.

La c'est plus curieux par contre. Tu a vérifié ici que c'était bien cette version qui tourne dans le navigateur?

http://www.java.com/fr/download/installed.jsp

edit: je viens de vérifier. Effectivement le texte pour 'élevé' a changé dans la 1.7.51. D'après les releases notes, java bloque maintenant les certificats auto signés et les applets non signées en mode "high".
https://www.java.com/en/download/faq...se_changes.xml

Donc rien à faire, il te faudra un certificats valide.
01/02/2014, 23h43
amauryxiv

Pffffff quelle guigne !!

Je crois que je n'ai plus qu'à renoncer à mes applets ... et par la même occasion au site qui va avec :cry:...

Merci quand même tchize_ pour ton aide.:ccool:

Je reste évidemment à votre écoute pour d'éventuelles solutions de contournement...
01/02/2014, 23h59
tchize_

un certificat valide, ça coute pas non plus la peau des fesses ^^. Normalement, on n'utilise les certificats auto signés que pour le prototypage /dev, où on s'en fou de baisser temporairement la sécurité. Il faut toujours au final avoir un certificat valide en production, question de sérieux aussi vis à vis de l'utilisateur, qui sait ainsi qui il a en face.
02/02/2014, 18h43
amauryxiv

Citation:

Envoyé par tchize_

un certificat valide, ça coute pas non plus la peau des fesses ^^.

Ouais ... J'ai questionné quelqu'un là dessus et ça coûte quand même 175 euros minimum ...8O Alors pour un site amateur comme le mien, c'est quand même pas négligeable !:?
02/02/2014, 22h23
tchize_

C'est à peu prêt le prix oui. Mais ce n'est pas si cher quand on vois ce que doivent mettre en oeuvre les provider avant de te filer le certificat. Ce n'est pas 10 minutes de travail :)

Maintenant c'est vrai que c'est plus destiné aux entreprises qui paient un certificat valable pour tous leurs logiciels. C'est le même problème si tu lance un site web amateur avec une connexion en SSL => Faudra acheter un certificat SSL pour chaque site. Pour un amateur ca représente un coût, du même ordre que le coup de l'hébergement à 10€/mois.

Si c'est un site amateur -> autosigné ou pas signé et un message demandant aux gens de baisser leur niveau de sécurité.

Si je peux me permettre une question, pourquoi avoir choisi les technologies applets?
02/02/2014, 23h16
amauryxiv

Citation:

Envoyé par tchize_

Si je peux me permettre une question, pourquoi avoir choisi les technologies applets?

Tout simplement car c'est une technologie (Java) que je maîtrisait mieux que PHP ou d'autres, et car certaines applets sont en fait de simples jeu que je ne pouvais pas faire sans un langage de haut niveau ...
02/02/2014, 23h58
tchize_

Pour les jeux divers, la solution passe peut être par la mise en téléchargement plutot qu'en applet? Pour le reste, si ça peux être transformé en PHP ou autre poru être exécuté coté serveur, c'est peut être une solution.
05/02/2014, 17h57
amauryxiv

Citation:

Envoyé par tchize_

Pour les jeux divers, la solution passe peut être par la mise en téléchargement plutot qu'en applet? Pour le reste, si ça peux être transformé en PHP ou autre poru être exécuté coté serveur, c'est peut être une solution.

Bonjour tchize_.

Je te remercie pour tes suggestion :ccool:, mais je pense qu'une discussion sur comment contourner "le problème applet" n'a pas trop sa place ici ;).

Par contre si quelqu'un connait un moyen pour que lesdites applets tournent, je suis preneur !!:(
05/02/2014, 18h34
tchize_

Le seul moyen aujourd'hui, c'est de les signer, ce qui coute de l'argent.