https://blogs.oracle.com/java/entry/java_se_7_update_45
Java SE 7 Update 45とJava SE Embedded 7 Update 45がダウンロードできるようになっています。これらのリリースには新しいDate/Timeの機能やセキュリティアップデートが含まれています。リリースノートは以下のリンクからどうぞ。
Java SE 7 Update 45
http://www.oracle.com/technetwork/java/javase/downloads/index.html
リリースノート
http://www.oracle.com/technetwork/java/javase/7u45-relnotes-2016950.html
Java SE 7 Update 45 Changes
New Date/Time Capabilityセキュリティマネージャによる checkPermission の呼び出しで PropertyPermission("user.timezone", "write") を拒否するコードを持つ任意のコードがjava.util.TimeZone.setDefault(TimeZone) メソッドを呼ぶ場合、 SecurityException を投げるように変更されました。互換性のある振る舞いを有効にするため、新しいシステムプロパティ jdk.util.TimeZone.allowSetDefault (boolean値) が提供されています。このプロパティが評価されるのは、java.util.TimeZone クラスがロードされ初期化される際の一度だけです。
Security Changes
LiveConnectこのリリースでは、適切に署名・構成されないRIAに対しWebページがLiveConnectを呼び出した場合の警告が新たに導入されています。今後、2014年1月のJava SE 7 Update 51で、パブリックに配布されるRIAは適切な証明書で署名され、新しいPermission 属性を含むという要件が導入される予定になっています。これらの変更はAppletとWeb Startアプリケーション(Rich Internet Applications)にのみ影響し、その他のサーバーサイドJava、組み込み、クライアントJavaには影響しません。詳細は以下のエントリをご覧下さい。
LiveConnect changes in 7u45Protections Against Unauthorized Redistribution of Java Applications
https://blogs.oracle.com/java-platform-group/entry/liveconnect_changes_in_7u45
7u45から、アプリケーション開発者は新しいJARマニフェストファイル属性を指定できるようになりました。
- Application-Name: この属性はRIAに対し安全なタイトルを提供します。
- Caller-Allowable-Codebase: この属性は、JavaScriptがAppletクラスの呼び出しを許可されたコードベース/ロケーションを指定します。 セキュリティダイアログが現れないでJavaを呼び出すJavaScriptの実行が許されるのは以下の場合に限られます。
- JARが信頼されたCAによって署名され、
Caller-Allowable-Codebase
マニフェストエントリを有しており、JavaScriptがその内容に合致したドメインで動作する場合 - JARが署名されておらず、JARの在処と同じドメインからJavaScriptからの呼び出しがなされている場合
- Application-Library-Allowable-Codebase: JNLPファイルもしくはHTMLページがJARファイルと異なる場所にある場合、Application-Library-Allowable-Codebase 属性によってRIAの想定呼び出し場所を特定します。この属性が存在しない場合、もしくは属性や場所が一致しない場合、セキュリティプロンプトにてJNLPファイルの場所をユーザーに表示します。RIAは上記の場合であっても実行できることにご注意下さい。詳細は、以下のリンクをどうぞ。
JAR File Manifest Attributes for Security
http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/manifest.html
Javaコントロールパネル(JCP)で新しいボタンが利用できるようになっています。
これは以前指定した信頼の決定(trust decision)をクリアするためのボタンです。trust decision はユーザーがセキュリティプロンプト中で「 Do not show this again (再度表示しない)」オプションを選択した場合に発生します。以前隠したプロンプトを表示するには、 Restore Security Prompts (セキュリティ・プロンプトの復元)ボタンをクリックします。選択の確認を求められた場合、 Restore All (すべて復元)をクリックすると、以後アプリケーションが起動すれば、そのアプリケーションに対し、セキュリティプロンプトが現れます。
詳細はJavaコントロールパネルのセキュリティの章にある「Restore Security Prompts」をご覧下さい。
Restore Security PromptsJAXP Changes
http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/jcp.html#security
JDK 7u45から、以下の新しい processing limits が JAXPの
FEATURE_SECURE_PROCESSING
機能に追加されています。- totalEntitySizeLimit
- maxGeneralEntitySizeLimit
- maxParameterEntitySizeLimit
Trail: Java API for XML Processing (JAXP)
http://docs.oracle.com/javase/tutorial/jaxp/index.html
Lesson: Processing Limits
http://docs.oracle.com/javase/tutorial/jaxp/limits/index.html
Key Links
Java SE 7 Update 45http://www.oracle.com/technetwork/java/javase/downloads/index.html
リリースノート
http://www.oracle.com/technetwork/java/javase/7u45-relnotes-2016950.html
LiveConnect changes in 7u45
https://blogs.oracle.com/java-platform-group/entry/liveconnect_changes_in_7u45
What to do if your applet is blocked or warns of “mixed code”?
https://blogs.oracle.com/java-platform-group/entry/what_to_do_if_your
0 件のコメント:
コメントを投稿