我有一个Java applet,它不需要任何特殊的权限来运行(即,它在沙箱中运行正常),但是它希望用户输入一些敏感信息。因此,我希望用户能够验证小程序的来源。
然后我签署了applet,一切似乎都正常。浏览器显然接受签名;出于测试目的,我尝试执行PrivilegedActions,一切正常。但是,浏览器不会通知用户浏览器已签名 - 从用户的角度来看,applet的未签名和签名版本看起来完全相同。
所以我的问题是:有没有办法指示浏览器向用户提供签名权限,或类似的东西?
答案 0 :(得分:2)
首先,这不是签署jar的有效用法。
你有没有忘记取消永远信任的复选框?
回到第一点,因为它非常重要。通过签署一个jar,您将证书名称置于其安全的声明中。请注意,安全性比非恶意更广泛。如果在任何地方遇到任何代码,则会弹出安全对话框,询问用户是否想要提供完整的本地用户访问权限。这并不意味着某些特定的像素集来自一个光源。
正确的方法是使用https。