Java 7 Update 21安全改进的详细信息

甲骨文昨天发布了三个Java更新 。 重要的是要注意它们包含一些与安全性相关的更改。 一段时间以来,已经宣布了其中的大多数更改,并且首先要注意的是Oracle按计划交付。

甲骨文公司Java平台安全经理Milton Smith最近在DevoxxUK上做了题为“ 用Java保护未来 ”的演讲,他在其中解释了Oracle产品中处理安全性的总体过程,并概述了Java CPU。 那些为期4个月的更新涵盖了所有Java系列,并且据此,从昨天开始,我们还看到了Java SE 6 Update 45和新的Java SE Embedded 7 Update 21,它们解决了有关这些Java系列的相同问题。

(我是最终用户)

发行说明列出了一些新内容。 它们中的大多数针对最终用户,旨在提供更安全的Java运行时。 从最重要的更改开始,现在删除了Java控制面板(JCP)的“安全滑块”上的较低设置和自定义设置。 从根本上讲,这意味着未签名的小程序不会再运行而不会发出警告。 此外,根据Java控制面板中设置的安全级别和用户的JRE版本,可能完全不允许自签名或未签名的应用程序运行。 默认设置为“高”允许除本地小程序以外的所有小程序都可以在安全的JRE上运行。 如果用户运行的是不安全的JRE(<7),则仅允许运行使用由公认的证书颁发机构颁发的证书签名的应用程序。

受信任并已签名(来源:Oracle)

作为一个简短的指导原则,在(!)您已经同意启动浏览器通常也会询问您的活动内容之后,最终用户现在在浏览器中看到两种不同的Java警告消息。 所有蓝色和Java都是有效的有效内容(将图片与“可信任和已签名”右侧进行比较)。 这种类型的应用程序通常风险较低,但是Oracle建议您检查应用程序名称,发布者名称和位置是否对您正在访问的站点有意义(例如Java Detection,Oracle America,http://www.java.com)。在java.com上)。 如果任何此信息与您不匹配或完全没有意义,建议您单击“取消”。

未签名(来源:Oracle)

如果遇到未签名或未正确签名的应用程序,则东西会开始变成黄色和红色(比较图片“ Unsigned”)。 简而言之,您最有可能愿意修改有关执行此类应用程序的决定。 即使与自签名应用程序(沙盒与完全访问)相比,潜在的安全风险级别不同, 您也应该取消并且不要运行任何会为您生成黄色/红色警告的应用程序! 如果您对完整的故事感兴趣,可以深入了解有关“ Java安全提示 ”的更多信息。

除了这一非常显着的变化,Oracle还引入了中央证书和jar黑名单存储库。 首次执行Java applet或Web Start应用程序时,每天在客户端计算机上更新此数据。 通过此更改,您的JRE现在可以致电给家,并获取有关可能存在的不良证书和第四方罐子的最新信息。 Oracle没有透露有关其背后流程的任何信息,但我想,该机制将用于完全阻止大多数(全部)已知漏洞利用工具包。

您可以获得大量的安全修复程序! 有一个完整的列表可用,它称为“ Oracle Java SE Risk Matrix ”。 此重要补丁更新包含针对Oracle Java SE的42个新的安全修复程序。 其中的39个漏洞无需身份验证即可远程利用,即,可以通过网络利用这些漏洞而无需用户名和密码。 如果没有提示您更新,则应尽快执行此操作。 从java.com下载适用于您系统的JRE,并保持最新状态!

(我是开发人员)

如果您正在使用Applet,浏览器中的JavaFX应用程序或Java WebStart应用程序,则可能需要更改开发过程以支持签名的应用程序。 通过引入的更改,最有可能的是最终用户在自签名或未签名的情况下都无法运行您的应用程序。 有关如何执行操作的详细概述,请参阅Java教程中的签署小程序指南 。

现在,我们有一个服务器JRE 。 如果您需要服务器上的JRE并且不希望运行RIA,请下载Java SE Server JRE 。 此版本的Java SE Server JRE不包含Java插件或Java Web Start支持,将来的版本中可能会删除其他工具。

还引入了一些行为更改。 默认情况下,RMI属性java.rmi.server.useCodebaseOnly设置为true。 这可能会导致基于RMI的应用程序损坏。 请注意包含java.rmi.UnmarshalException的堆栈跟踪,该java.rmi.UnmarshalException包含嵌套的java.lang.ClassNotFoundException。

在Windows平台上,改进了对指定给Runtime.exec(String),Runtime.exec(String,String [])和Runtime.exec(String,String [],File)方法的命令字符串的解码,以符合规范更紧密。 对于使用这些方法中的一种或多种与程序名称中包含空格的命令,或者使用未正确引用的命令调用这些方法的应用程序,可能会导致问题。

更多信息

开发人员的官方文档中有很多内容。 最终用户文档的发展也非常Swift, java.com是一个很好的起点。 对于我的德语阅读,您还可以在heise.de/developer上找到更详细的报道。

参考: Java 7 Update 21从我们的JCG合作伙伴 Markus Eisele在Java企业软件开发博客上详细进行了安全改进 。

翻译自: https://www.javacodegeeks.com/2013/04/java-7-update-21-security-improvements-in-detail.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/368527.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

du的原理 linux_Linux 文件系统管理

1、文件系统介绍1&#xff09;、Linux 文件系统特性super block&#xff08;超级块&#xff09;记录整个文件系统的信息。包括 block 与 inode 的总量&#xff0c;已经使用的 block 和 inode 的数量&#xff0c;未使用的 block 和 inode 的数量&#xff0c;block 与 inode 的大…

box-shadow IE8兼容处理

根据canisue&#xff08;http://caniuse.com/#searchbox-shadow&#xff09;&#xff0c;box-shadow兼容性如下图所示&#xff1a; 测试代码&#xff1a; 1 <!DOCTYPE html>2 <html>3 4 <head>5 <meta charset"UTF-8">6 …

ECharts.js学习(一) 简单入门

EChart.js 简单入门 最近有一个统计的项目要做&#xff0c;在前端的数据需要用图表的形式展示。网上搜索了一下&#xff0c;发现有几种统计图库。 MSChart 这个是Visual Studio里的自带控件&#xff0c;使用比较简单&#xff0c;不过数据这块需要在后台绑定。 ichartjs 是一款…

金蝶云系统显示服务器离线,金蝶云服务器已离线是什么情况

金蝶云服务器已离线是什么情况 内容精选换一换根据是否支持挂载至多台云服务器可以将磁盘分为非共享磁盘和共享磁盘。一个非共享磁盘只能挂载至一台云服务器&#xff0c;而一个共享磁盘可以同时挂载至多台云服务器。共享磁盘是一种支持多个云服务器并发读写访问的数据块级存储设…

分布式是什么意思_机架式ups是什么意思?与分布式DPS有何不同之处?

ups电源很多人听过了&#xff0c;主要是让设备在突然断电的情况下遭遇停电的损坏&#xff0c;保障数据及重要程序运行。那么&#xff0c;机架式ups电源可能就是很多人不太了解的了&#xff0c;在说到与分布式DPS有何不同之处那是很少有人清楚了解了&#xff0c;不管怎么说&…

【原】老生常谈-从输入url到页面展示到底发生了什么

刚开始写这篇文章还是挺纠结的&#xff0c;因为网上搜索“从输入url到页面展示到底发生了什么”&#xff0c;你可以搜到一大堆的资料。而且面试这道题基本是必考题&#xff0c;二月份面试的时候&#xff0c;虽然知道这个过程发生了什么&#xff0c;不过当面试官一步步追问下去的…

WebApi在MVC 4中一个Controll多个post方法报错处理

http://blog.csdn.net/lqh4188/article/details/53542400&#xff08;原创&#xff09; 转载于:https://www.cnblogs.com/william-CuiCui0705/p/8023832.html

关于文件关联的图标不能正常显示

不知道有没有人遇到过这种情况&#xff1a; 这两种情况都是关联的图标不能正常显示&#xff0c;但是可以正常打开。总觉得看着挺碍眼的&#xff0c;就看了下注册表&#xff0c;发现可以用以下方法解决&#xff1a; 打开注册表&#xff0c;[HKEY_CLASSES_ROOT]找到需要修改的文件…

华为畅享8plus停产了吗_牢记华为手机“三不买”原则,不花冤枉钱,选错要吃亏!...

如今华为手机已经占据国内手机市场份额的半壁江山&#xff0c;华为自然也就成为了买手机的首选。那么华为手机真的好吗&#xff1f;我认为应该理性看待&#xff0c;因为每个手机品牌都有好手机也有差手机&#xff0c;其实买华为你只需要牢记“三不买”原则&#xff0c;就可以不…

Spring MVC:MySQL和Hibernate的安全性

Spring有很多不同的模块。 所有这些对于具体目的都是有用的。 今天&#xff0c;我将讨论Spring Security。 该模块提供了灵活的方法来管理访问Web应用程序不同部分的许可。 在这篇文章中&#xff0c;我将研究Spring MVC &#xff0c; Hibernate &#xff0c; MySQL与Spring Sec…

Python 离线 安装requests第三方库

一、介绍 requests是Python的一个HTTP客户端库&#xff0c;跟urllib&#xff0c;urllib2类似&#xff0c;不过requests的优势在于使用简单&#xff0c;相同一个功能&#xff0c;用requests实现起来代码量要少很多。毕竟官方文档都很直白的说&#xff1a; python的标准库urllib2…

JS分页条插件

目标 制作js分页导航jq插件,用于无刷新分页或者刷新分页 实现目标参考京东和天猫的分页条. 有四个固定按钮,前页码,后页码,首页,末页. 程序关键点在于计算中间页面的起止位置.逻辑是以当前页码为参照点,根据需要显示的页码按钮个数,计算参照点前后的页码数量. 当起止点小于1或者…

头同尾合十的算法_乘法速算之首同尾合十

两位数乘两位数中&#xff0c;有一种特殊情况不需要列竖式&#xff0c;可以直接说出答案&#xff0c;那就是“首同尾合十”——十位相同&#xff0c;个位数字之和是10。一、巧算方法前两位&#xff1a;十位数字(十位数字1)&#xff0c;后两位&#xff1a;个位相乘例如&#xff…

JavaFX逆运动学库2.0

这是第一篇讲解javafx-ik的基础教程&#xff0c; javafx-ik是JavaFX的逆运动学库。 该库的源代码可以从GitHub下载。 什么是 图1&#xff1a;单骨 骨骼是使用javafx-ik库进行逆运动学的基本基础。 骨骼具有一定长度和关节&#xff0c;骨骼可以围绕该关节旋转。 具有关节的一端…

html权重值_史上最全的web前端面试题汇总及答案HtmlCss(二)

作者&#xff1a;樱桃小丸子儿链接&#xff1a;https://www.jianshu.com/p/abadcc84e2a4HTML&CSSimg的alt和title的异同&#xff1f;**alt **是图片加载失败时&#xff0c;显示在网页上的替代文字&#xff1b;**title **是鼠标放上面时显示的文字,title是对图片的描述与进一…

解决问题SyntaxError: Unexpected token import

ES6语法的模块导入导出(import/export)功能,我们在使用它的时候&#xff0c;可能会报错&#xff1a; SyntaxError: Unexpected token import 语法错误&#xff1a;此处不应该出现import 我遇到的情况是import语法不识别导致的。在这里&#xff0c;有两种方法可以解决。 1: 使用…

使用Gradle的简单Spring MVC Web应用程序

除了我们现在将使用Spring MVC而不是原始servlet之外&#xff0c;该文章将与我们以前的文章Simple Gradle Web Application相似。 使用Gradle运行基本的Spring MVC应用程序确实很容易。 您可以在Github上下载本教程的源代码。 先决条件 安装Gradle 我们的基本项目结构将是&am…

tps波动很大的原因_花生价格小幅上涨,要突破6元大关?粮贩:还有很大距离...

花生是一种重要的油料作物&#xff0c;虽然并不是全国都种植&#xff0c;但在黄淮、长江流域&#xff0c;西北和东北等地区&#xff0c;均广泛种植&#xff0c;近期花生价格一直是农民朋友的关注点&#xff0c;从今年花生价格来看&#xff0c;自从花生上市后&#xff0c;价格起…

html css 基础(标签选择,分页,行和块元素)

&#xff08;1&#xff09;html标签选择 1、<a></a> 的功能有连接&#xff0c;下载&#xff0c;锚点 2、<span></span> 用来区分字体样式&#xff0c;<strong></strong>和<em></em>用来强调某段文字 3、如果是描述性的某段…

使用LDAP保护Java EE6中的Web应用程序

在上一篇文章中&#xff0c;我们解释了如何在通过传输层安全性&#xff08;TLS&#xff09;/安全套接字层&#xff08;SSL&#xff09;传输数据时保护数据。 现在&#xff0c;让我们尝试了解如何为使用LDAP服务器进行身份验证的基于JEE 6的Web应用程序应用安全机制。 目的&…