Java 7 Update 21安全改进的详细信息

甲骨文昨天发布了三个Java更新 。 重要的是要注意它们包含一些与安全性相关的更改。 一段时间以来,已经宣布了其中的大多数更改,并且首先要注意的是Oracle按计划交付。

甲骨文公司Java平台安全经理Milton Smith最近在DevoxxUK上做了题为“ 用Java保护未来 ”的演讲,他在其中解释了Oracle产品中处理安全性的总体过程,并概述了Java CPU。 那些为期4个月的更新涵盖了所有Java系列,并且据此,从昨天开始,我们还看到了Java SE 6 Update 45和新的Java SE Embedded 7 Update 21,它们解决了有关这些Java系列的相同问题。

(我是最终用户)

发行说明列出了一些新内容。 它们中的大多数针对最终用户,旨在提供更安全的Java运行时。 从最重要的更改开始,现在删除了Java控制面板(JCP)的“安全滑块”上的较低设置和自定义设置。 从根本上讲,这意味着未签名的小程序不会再运行而不会发出警告。 此外,根据Java控制面板中设置的安全级别和用户的JRE版本,可能完全不允许自签名或未签名的应用程序运行。 默认设置为“高”允许除本地小程序以外的所有小程序都可以在安全的JRE上运行。 如果用户运行的是不安全的JRE(<7),则仅允许运行使用由公认的证书颁发机构颁发的证书签名的应用程序。

受信任并已签名(来源:Oracle)

作为一个简短的指导原则,在(!)您已经同意启动浏览器通常也会询问您的活动内容之后,最终用户现在在浏览器中看到两种不同的Java警告消息。 所有蓝色和Java都是有效的有效内容(将图片与“可信任和已签名”右侧进行比较)。 这种类型的应用程序通常风险较低,但是Oracle建议您检查应用程序名称,发布者名称和位置是否对您正在访问的站点有意义(例如Java Detection,Oracle America,http://www.java.com)。在java.com上)。 如果任何此信息与您不匹配或完全没有意义,建议您单击“取消”。

未签名(来源:Oracle)

如果遇到未签名或未正确签名的应用程序,则东西会开始变成黄色和红色(比较图片“ Unsigned”)。 简而言之,您最有可能愿意修改有关执行此类应用程序的决定。 即使与自签名应用程序(沙盒与完全访问)相比,潜在的安全风险级别不同, 您也应该取消并且不要运行任何会为您生成黄色/红色警告的应用程序! 如果您对完整的故事感兴趣,可以深入了解有关“ Java安全提示 ”的更多信息。

除了这一非常显着的变化,Oracle还引入了中央证书和jar黑名单存储库。 首次执行Java applet或Web Start应用程序时,每天在客户端计算机上更新此数据。 通过此更改,您的JRE现在可以致电给家,并获取有关可能存在的不良证书和第四方罐子的最新信息。 Oracle没有透露有关其背后流程的任何信息,但我想,该机制将用于完全阻止大多数(全部)已知漏洞利用工具包。

您可以获得大量的安全修复程序! 有一个完整的列表可用,它称为“ Oracle Java SE Risk Matrix ”。 此重要补丁更新包含针对Oracle Java SE的42个新的安全修复程序。 其中的39个漏洞无需身份验证即可远程利用,即,可以通过网络利用这些漏洞而无需用户名和密码。 如果没有提示您更新,则应尽快执行此操作。 从java.com下载适用于您系统的JRE,并保持最新状态!

(我是开发人员)

如果您正在使用Applet,浏览器中的JavaFX应用程序或Java WebStart应用程序,则可能需要更改开发过程以支持签名的应用程序。 通过引入的更改,最有可能的是最终用户在自签名或未签名的情况下都无法运行您的应用程序。 有关如何执行操作的详细概述,请参阅Java教程中的签署小程序指南 。

现在,我们有一个服务器JRE 。 如果您需要服务器上的JRE并且不希望运行RIA,请下载Java SE Server JRE 。 此版本的Java SE Server JRE不包含Java插件或Java Web Start支持,将来的版本中可能会删除其他工具。

还引入了一些行为更改。 默认情况下,RMI属性java.rmi.server.useCodebaseOnly设置为true。 这可能会导致基于RMI的应用程序损坏。 请注意包含java.rmi.UnmarshalException的堆栈跟踪,该java.rmi.UnmarshalException包含嵌套的java.lang.ClassNotFoundException。

在Windows平台上,改进了对指定给Runtime.exec(String),Runtime.exec(String,String [])和Runtime.exec(String,String [],File)方法的命令字符串的解码,以符合规范更紧密。 对于使用这些方法中的一种或多种与程序名称中包含空格的命令,或者使用未正确引用的命令调用这些方法的应用程序,可能会导致问题。

更多信息

开发人员的官方文档中有很多内容。 最终用户文档的发展也非常Swift, java.com是一个很好的起点。 对于我的德语阅读,您还可以在heise.de/developer上找到更详细的报道。

参考: Java 7 Update 21从我们的JCG合作伙伴 Markus Eisele在Java企业软件开发博客上详细进行了安全改进 。

翻译自: https://www.javacodegeeks.com/2013/04/java-7-update-21-security-improvements-in-detail.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/368527.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

css中px、em和rem的区别总结

前言 em 和 rem 都是灵活可扩展的单位&#xff0c;由浏览器转换为像素值&#xff0c;取决于设计中的字体大小&#xff0c;如果使用值 1em 或 1rem &#xff0c;它可以被浏览器转换为从 16px 到 160px 或其他任意值。浏览器使用 1px &#xff0c;那么 1px 始终显示为完全 1px。…

du的原理 linux_Linux 文件系统管理

1、文件系统介绍1&#xff09;、Linux 文件系统特性super block&#xff08;超级块&#xff09;记录整个文件系统的信息。包括 block 与 inode 的总量&#xff0c;已经使用的 block 和 inode 的数量&#xff0c;未使用的 block 和 inode 的数量&#xff0c;block 与 inode 的大…

看病

看病 链接&#xff1a;http://ybt.ssoier.cn:8088/problem_show.php?pid1371时间限制: 1000 ms 内存限制: 65536 KB【题目描述】 有个朋友在医院工作&#xff0c;想请BSNY帮忙做个登记系统。具体是这样的&#xff0c;最近来医院看病的人越来越多了&#xff0c;因此很多…

java 服务器读取客户端文件,java 服务器读取客户端文件

弹性云服务器 ECS弹性云服务器(Elastic Cloud Server)是一种可随时自助获取、可弹性伸缩的云服务器&#xff0c;帮助用户打造可靠、安全、灵活、高效的应用环境&#xff0c;确保服务持久稳定运行&#xff0c;提升运维效率三年低至5折&#xff0c;多种配置可选了解详情项目和企业…

一些基于Java的AI框架:Encog,JavaML,Weka

在进行编程收集情报工作时&#xff0c;我发现自己花了很多时间将Python代码转换为Java&#xff0c;由于通常对我的进度缓慢感到不耐烦&#xff0c;所以我一直在寻找替代方法。 我发现3&#xff1a; Encog – Heaton研究 Java语言 威卡 这绝不是一项深入的调查&#xff0c;…

input select 值得绑定与获取

<div style"margin-top:100px"><!--Input 值得绑定--><div id"app20"><input id"txt01" v-model"message" placeholder"请输入..." /><span>{{ message }}</span><textarea id"…

box-shadow IE8兼容处理

根据canisue&#xff08;http://caniuse.com/#searchbox-shadow&#xff09;&#xff0c;box-shadow兼容性如下图所示&#xff1a; 测试代码&#xff1a; 1 <!DOCTYPE html>2 <html>3 4 <head>5 <meta charset"UTF-8">6 …

ECharts.js学习(一) 简单入门

EChart.js 简单入门 最近有一个统计的项目要做&#xff0c;在前端的数据需要用图表的形式展示。网上搜索了一下&#xff0c;发现有几种统计图库。 MSChart 这个是Visual Studio里的自带控件&#xff0c;使用比较简单&#xff0c;不过数据这块需要在后台绑定。 ichartjs 是一款…

金蝶云系统显示服务器离线,金蝶云服务器已离线是什么情况

金蝶云服务器已离线是什么情况 内容精选换一换根据是否支持挂载至多台云服务器可以将磁盘分为非共享磁盘和共享磁盘。一个非共享磁盘只能挂载至一台云服务器&#xff0c;而一个共享磁盘可以同时挂载至多台云服务器。共享磁盘是一种支持多个云服务器并发读写访问的数据块级存储设…

Spring Data Solr教程:Solr简介

大多数应用程序必须具有某种搜索功能。 问题在于搜索功能通常是巨大的资源消耗&#xff0c;它们可能通过给数据库造成沉重的负担而破坏我们应用程序的性能。 因此&#xff0c;将负载转移到外部搜索服务器是个好主意。 这是我的Spring Data Solr教程的第一部分。 在本教程中&am…

Liunx常用的100条命令汇存

1、关机 shutdown -h now 立刻关机 poweroff shutdown -r now 立刻重启 reboot logout 注销2、进入图形界面 startx3、vi编辑器 [vi] [path]/[file]&#xff1b; [i]进入编辑模式&#xff1b; [esc]进入命令模式&#xff1b; [:wq]保存并退出&#xff1b;[:q!]退出…

分布式是什么意思_机架式ups是什么意思?与分布式DPS有何不同之处?

ups电源很多人听过了&#xff0c;主要是让设备在突然断电的情况下遭遇停电的损坏&#xff0c;保障数据及重要程序运行。那么&#xff0c;机架式ups电源可能就是很多人不太了解的了&#xff0c;在说到与分布式DPS有何不同之处那是很少有人清楚了解了&#xff0c;不管怎么说&…

【原】老生常谈-从输入url到页面展示到底发生了什么

刚开始写这篇文章还是挺纠结的&#xff0c;因为网上搜索“从输入url到页面展示到底发生了什么”&#xff0c;你可以搜到一大堆的资料。而且面试这道题基本是必考题&#xff0c;二月份面试的时候&#xff0c;虽然知道这个过程发生了什么&#xff0c;不过当面试官一步步追问下去的…

WebApi在MVC 4中一个Controll多个post方法报错处理

http://blog.csdn.net/lqh4188/article/details/53542400&#xff08;原创&#xff09; 转载于:https://www.cnblogs.com/william-CuiCui0705/p/8023832.html

光耀卡服务器维修,3月28日服务器更新维护公告

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼亲爱的战友&#xff1a;我们将于03月28日08:00-13:00对所有服务器进行更新维护。在此期间无法登录游戏&#xff0c;给大家带来的不便我们深表歉意。- 商城兑换1)无限紫晶幸运箱 限时兑换※使用后必定获得一款限定永久武器※可重复获…

JPA – Hibernate –包级别的类型映射

当我们最终成熟到可以在JPA中使用某些自定义类型映射时&#xff0c;我们通常会停留在某些提供程序特定的解决方案上&#xff0c;因为JPA本身并未定义任何实现此功能的机制。 让我为您展示一个JPA提供程序Hibernate的自定义类型映射定义的示例。 假设我们在项目中使用Joda Money…

关于文件关联的图标不能正常显示

不知道有没有人遇到过这种情况&#xff1a; 这两种情况都是关联的图标不能正常显示&#xff0c;但是可以正常打开。总觉得看着挺碍眼的&#xff0c;就看了下注册表&#xff0c;发现可以用以下方法解决&#xff1a; 打开注册表&#xff0c;[HKEY_CLASSES_ROOT]找到需要修改的文件…

web前端常用知识点

1、常见的块级元素 内联元素 div -最常用的块级元素 dl - 和dt-dd 搭配使用的块级元素 form - 交互表单 h1 -h6- 大标题 hr - 水平分隔线 ol – 有序列表 p - 段落 ul - 无序列表 fieldset - 表单字段集 colgroup-col - 表单列分组元素 table-tr-td 表格及行-单元格 pre - 格…

Android 7.0 fiddler代理抓不到https请求的解决办法

Android 7.0 fiddler代理抓不到https请求的解决办法 解决方法&#xff1a; 1.在源码res目录下新建xml目录&#xff0c;增加network_security_config.xml文件 &#xff08;工程名/app/src/main/res/xml/network_security_config.xml&#xff09;network_security_config.xml文件…

华为畅享8plus停产了吗_牢记华为手机“三不买”原则,不花冤枉钱,选错要吃亏!...

如今华为手机已经占据国内手机市场份额的半壁江山&#xff0c;华为自然也就成为了买手机的首选。那么华为手机真的好吗&#xff1f;我认为应该理性看待&#xff0c;因为每个手机品牌都有好手机也有差手机&#xff0c;其实买华为你只需要牢记“三不买”原则&#xff0c;就可以不…