[Java, Security] Upcoming Exception Site List in 7u51

原文はこちら。
https://blogs.oracle.com/java-platform-group/entry/upcoming_exception_site_list_in

---

昨年来、多くの新しいセキュリティ関連の機能が実装されてきました。

One Year of Security Enhancements in the JRE
Aurelio Garcia-Ribeyro (Senior Group Product Manager, Oracle)
https://oracleus.activeevents.com/2013/connect/fileDownload/session/FAD6825EC4D708FF5BC5FC3DCC891BDB/CON7799_AGarciaRibeyro.pdf 

これらの機能の多くはAppletやWeb Startアプリケーション（RIA）のためのブラウザプラグインに関連するものでした。多くのエンドユーザーやソフトウェアベンダーが、環境およびアプリケーション利用時の設定方法を尋ねてきました。
Exception Site List（例外サイトリスト）はエンドユーザーがアプリケーションホワイトリストを管理し、以前発表したセキュリティ要件にタイムリーに追随できないRIAを継続して使うための方法です。

New security requirements for RIAs in 7u51 (January 2014)
https://blogs.oracle.com/java-platform-group/entry/new_security_requirements_for_rias
http://orablogs-jp.blogspot.jp/2013/11/new-security-requirements-for-rias-in.html

Exception Site Listは、継続してRIAを利用する手段を提供しますが、ユーザーに対する全ての警告を取り除くことを意図しているものではありません。エンドユーザーはこれを使ったとしても重要なプロンプトを見ることになりますが、そうしたプロンプトはブロックしません。

Comparison to Deployment Rule Set

Exception Site Listは、RIAのホワイトリストを作成し、システム管理者への要求を減らします。

	Exception Site List	Deployment Rule Set
導入時期	Java 7 update 51 （January 2014年1月）	Java 7 update 40 （2013年9月）
対象	エンドユーザー	システム管理者
形式	プレーンテキスト	署名済みJARファイル
両者が競合する場合どちらが優先するか	Deployment Rule Setを優先

標準ポリシーの適用のために、システム管理者はException Site Listの利用を別のコントロールパネル設定でロックダウンすることができます。

Adding a site to the Exception Site List

エンドユーザーはException Site ListにJavaコントロールパネルからアクセスすることができます。

1. ブラウザを使っていつも使っているRIAにアクセスします。
2. URLをアドレスバーからコピーします。
   このときディレクトリパスの/までを選択し、ファイル名は選択しないで下さい。
• OK: https://www.example.com/someApplication/
• NG: https://www.example.com/someApplication/filename.html
3. Javaコントロールパネルを開きます。
• Windows/Mac - システムコントロールパネルでJavaを選択します。
• Linux/Solaris - javacplコマンドを実行します。
4. セキュリティタブを選択します。
5. 下部の"Manage Site List"（サイトリストの管理）ボタンをクリックします。
6. 新しい画面が開きます。
   
7. Add（追加）ボタンをクリックします。
   
• OK: https://www.example.com/someApplication/
• NG: https://www.example.com/someApplication/filename.html
8. OKをクリックすると、画面が閉じます。暗号化されていないプロトコル（httpやfileなど）を使うと別のプロンプトが現れる場合があります。暗号化されたプロトコルを選択することで潜在的な中間者攻撃（Man In The Middle Attack）を防ぎます。
   

   Man In The Middle Attack (Back Track Linux)
   http://back-track-linux.blogspot.com/2012/11/man-in-middle-attack.html

9. コントロールパネルに戻り、OKをクリックして画面を閉じます。
10. ブラウザでWebページをリロードしてRIAを立ち上げます。

Scaling distribution of the Exception Site List

Exception Site Listがエンドユーザーが自身のException Site Listを管理する目的で用意されているとはいえ、ほとんどのソフトウェア設定の変更は自動化することができます。
Exception Site Listを管理するファイルは、デプロイメント設定に記載されているように、ユーザーがデプロイした場所に格納されています。

Deployment Configuration File and Properties
http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/properties.html

筆者のWindows 7の環境では、この場所は以下になっています。C:\Users\ecostlow\AppData\LocalLow\Sun\Java\Deployment\security\exception.sites

フォーマットは1行ごとに1サイトです。

Sample customer support note

変更が導入されると、テクニカルサポートの担当者に対し詳細を尋ねるのが常なのですが、ダウンロード可能で、ちょっと調整してこの変更についてみなさまのお客様とお話する上で役立ててもらえるような、そんなテクニカルサポートノートを作成しているところです。本質的にはこのエントリの抜粋版で、How-toメッセージを強調したものです。