Jar y bloqueo de seguridad

Hola, tengo un proyecto web que ya esta montado, se ejecuta en firefos y llama a dos applets, cuyos ficheros JAR ya están generados. La certificación ha caducado y además me dice que están autofirmados así que no son "de fiar", por lo que me pide que confirme que quiero ejecutarlos cada vez que ejecuto la aplicación.

Los Jar ya estan generados, así que poca leche puedo hacer.

He intentado firmarlos con keytool y demás, pero o siguen solicitando el aviso o los jar dejan de funcionar. No se como firmar los JAR para que deje el firefox de pedir que los confirme cada vez. Alguna ocurrencia?

Gracias de antemano,

Buenas,

Mucho me temo que si esos applets estan autofirmados no hay forma de evitar la confirmacion.

La ventana de confirmacion en realidad no viene de firefox, sino del plugin Java:
http://www.java.com/en/download/help/jcp_security.xml
https://support.mozilla.org/fr/questions/963349

Los applets estan cada vez menos soportados debido a su largo historial de fallos de seguridad. De hecho otros navegadores como Chrome los bloquean completamente.

Un saludo

Cierto, he intentado que Java permita ejecutarlo, siempre en Firefox por que en chrome como bien dices ni aparecen. Lo máximo que he conseguido es que en algunos equipos solo me pregunte una vez si quiero usarlos y ya recuerde la respuesta. Pero justo en el equipo que van a estar instalados no consigo que firefox memorice que puede ejecutar esos applet, en lugar de preguntarmelo cada vez que entro. Es un entorno linux ubuntu 12.04 con la última version de Java y firefox.

Buenas,

Si, lo que pasa es que a partir de cierta version de Java el plugin impide evitar la ventana de alerta si el applet no esta firmado pour una autoridad verificada.

Creo que fue a partir de la 1.7.51:
https://blogs.oracle.com/java-platfo...ments_for_rias

Un saludo

Hola:

Si es para una aplciación abierta al público, poco remedio hay salvo que consigas una certificación oficial.

Sin embargo, ¿parece que es para un entorno controlado en el que parece que puedes configurar los clientes? ("justo en el equipo que van a estar instalados"). Si es así, en cada máquina de cliente, donde tenga instalado java, puedes añadir el certificado del applet como certificado de confianza. No lo he probado, pero si el java del cliente reconoce el certificado como de confianza, no debería pedir ningún tipo de confirmación.

Sin mirarlo mucho, creo que deberías añadir ese certificado con la herramienta keytool en <java-home>/lib/security/cacerts de cada uno de los clientes, pero no lo he verificado, echa un ojo a ver en google si es posible por ahí.

Se bueno.

Haber, les comento:
Los applets salieron en las 1ras versiones de java alla por 1995 y 1998 pero como se ejecutaban como plugins del navegador tenian grandes problemas de seguridad, he incluso su forma de programarse era un problema de seguridad, pues permitian al codigo del programador hacer cualquier cosa en la maquina cliente, incluso formatear la maquina (obvio con el conocimiento necesario).

Es por ello que aparecieron los servlets y luego los JSPs. Muchos programadores empezaron a usar los applets solo para instalar dll necesarias para su codigo. Pero dado los problemas que representa tener acceso a la maquina cliente y que ya existian servlets y jsps del lado del servidor, los navegadores empezaron a eliminar los plugins (incluido java y flash) y todo aquello basado en tecnologias NPAPI.

Actualmente el unico navegador que soporta el plugin de java es firefox, y mozilla a anunciado que lo va a eliminar al finalizar 2016, solo soportara flash y en un futuro tambien lo eliminara:
https://www.mozilla-hispano.org/el-f...pi-en-firefox/

Esto no significa que los navegadores dejen de soportar el lenguaje java como he leido en algunas paginas desinformadas. Los servlets y JSPs que son del lado del servidor siguen funcionando, por lo que deben cambiar sus aplicaciones de applets a servlets y JSPs.

No es posible que despues de que se vieran los problemas de seguridad de la tecnologia applet y saliera la alternativa, aun se siga utilizando casi 20 años despues. Hay que actualizarse y solo les queda el 2016 para hacerlo.

Saludos

Hola:

Efectivamente, los Applets cada vez van a menos y habría que actualizarse, pero JSP y Servlets no son la alternativa.

Como bien dices, JSP y Servlets corren en el lado del servidor y generan un página HTML que va y se visualiza en el navegador y que es estática (la página se genera sobre la marcha, pero una vez generada y visualizada, no cambia salvo que se pinche algún enlace o botón y se recargue otra página o la misma).

Los Applets pretendían dar "dinamismo" a esa página. Una vez cargada, el usuario puede hacer cosas con ella sin necesidad de recargar la página completa (sin necesidad de llamar a un Servlet o JSP que está en el servidor nuevamente). La alternativa a los Applets son "cosas" que sigan corriendo en el lado del navegador y no en el servidor. Javascript y AJAX (con todos los frameworks basados en ellos como AngularJS), HTML5, Flash, JavaFX, etc, etc.

Se bueno.

Si, bueno Servlets y JSPs fue la 1ra aproximación al dinamismo, pero ahora con AJAX, HTML5, JavaFX, etc. Eso se ha ido mejorando y perfeccionando.

De momento lo que he conseguido es que actualizando el Java del ubuntu y configurando que permita ejecutarse aplicaciones java desde ciertas rutas, memorice la primera vez que se ejecute y de esta manera solo consulta una vez si se permite su ejecución. El problema es que cuando se borra la cache de Java vuelve a preguntarlo.

El entorno es totalmente controlado y sin salida a internet, es una aplicación local. Tengo que probar lo de la firma que comentas chuidiang.

Seguiré informando.

Un saludo,

Ups, como ya dije esto esta heredado y no tengo la firma... y cuando intento firmarlo yo el Jar da error de clases, deja de funcionar.

Como te dijimos arriba, tal vez esto te salga y lo puedas solucionar. Pero al terminar este año dejara de funcionar y no podrás corregirlo. Busca alternativas.

Si lo consigo, dado que es un equipo "cerrado" la opción sería mantener siempre la misma versión de Java y de Firefox.

Por otro lado y como bien dices, me da a mi que aunque lo firme (pagando, como dios manda), a la larga también seguirá dando problemas, deberia cambiar el applet por otra cosa... html5?

Estoy intentado firmarlo a ver si lo consigo.

Un saludo y gracias por vuestras respuestas.

Bueno, parece que ya lo he conseguido. Os cuento lo que he hecho paso a paso:

Lo primero con la aplicación KeyStore Explorer he creado una firma y una libreria de firmas con las cuales he podido firmar mis JAR, resulta que las firmas que generaba no eran validas (te da un montón de tipos de firmas) las he generado con la opcion sh-256 y me han funcionado.

Una vez he hecho esto y tenia las firmas guardadas en una libreria en formato PKCS12, para que firefox pueda cogerla sin problemas. Voy a la configuración de certificados de Firefox y cargo mi firma.

El siguiente paso es ir a Java y cargar las firmas y configurar la seguridad: Tengo la versión de java jre1.8.0_77 y desde ubuntu abro su panel de control, aquí cargo las firmas en la pestaña SEGURIDAD y selecciono "Gestionar Certificados", aquí meto mis firmas certificados. Mi desesperación me ha obligado a meter el certificado en cada tipo de certificado posible (Certificación de confianza, sitio seguro...) por otro lado, también en la lista de excepciones de sitios he agregado la ruta exacta donde esta el JAR que se ejecuta. Sobra decir que he puesto el nivel de seguridad de Java en lo mas bajo que me permite (baja)

Por último, enla pestaña avanzado he deshabilitado casi toda las opciones que interactuaban con el usuario, es decir, en la sección "configuración de seguridad de entorno de ejecución" tengo todo desactivado. He dejado el java lo mas vulnerable posible pero... yo lo voy a ejecutar en entornos seguros y SIEMPRE sin conexión a inernet.

De momento me esta funcionando y espero que siga así.

Un saludo y gracias por vuestros aportes.