[Java, Security] Upcoming Exception Site List in 7u51

原文はこちら。
https://blogs.oracle.com/java-platform-group/entry/upcoming_exception_site_list_in

昨年来、多くの新しいセキュリティ関連の機能が実装されてきました。
One Year of Security Enhancements in the JRE
Aurelio Garcia-Ribeyro (Senior Group Product Manager, Oracle)
https://oracleus.activeevents.com/2013/connect/fileDownload/session/FAD6825EC4D708FF5BC5FC3DCC891BDB/CON7799_AGarciaRibeyro.pdf 
これらの機能の多くはAppletやWeb Startアプリケーション(RIA)のためのブラウザプラグインに関連するものでした。多くのエンドユーザーやソフトウェアベンダーが、環境およびアプリケーション利用時の設定方法を尋ねてきました。
Exception Site List(例外サイトリスト)はエンドユーザーがアプリケーションホワイトリストを管理し、以前発表したセキュリティ要件にタイムリーに追随できないRIAを継続して使うための方法です。
New security requirements for RIAs in 7u51 (January 2014)
https://blogs.oracle.com/java-platform-group/entry/new_security_requirements_for_rias
http://orablogs-jp.blogspot.jp/2013/11/new-security-requirements-for-rias-in.html
Exception Site Listは、継続してRIAを利用する手段を提供しますが、ユーザーに対する全ての警告を取り除くことを意図しているものではありません。エンドユーザーはこれを使ったとしても重要なプロンプトを見ることになりますが、そうしたプロンプトはブロックしません。

Comparison to Deployment Rule Set

Exception Site Listは、RIAのホワイトリストを作成し、システム管理者への要求を減らします。
 Exception Site List Deployment Rule Set
 導入時期  Java 7 update 51
(January 2014年1月)
Java 7 update 40
(2013年9月)
 対象 エンドユーザー システム管理者
形式 プレーンテキスト 署名済みJARファイル
両者が競合する場合どちらが優先するか Deployment Rule Setを優先
標準ポリシーの適用のために、システム管理者はException Site Listの利用を別のコントロールパネル設定でロックダウンすることができます。

Adding a site to the Exception Site List

エンドユーザーはException Site ListにJavaコントロールパネルからアクセスすることができます。
  1. ブラウザを使っていつも使っているRIAにアクセスします。
  2. URLをアドレスバーからコピーします。
    このときディレクトリパスの/までを選択し、ファイル名は選択しないで下さい。
    • OK: https://www.example.com/someApplication/
    • NG: https://www.example.com/someApplication/filename.html
  3. Javaコントロールパネルを開きます。
    • Windows/Mac - システムコントロールパネルでJavaを選択します。
    • Linux/Solaris - javacplコマンドを実行します。
  4. セキュリティタブを選択します。
  5. 下部の"Manage Site List"(サイトリストの管理)ボタンをクリックします。
  6. 新しい画面が開きます。
    Screenshot of Exception Site List
  7. Add(追加)ボタンをクリックします。
    Screenshot of adding an exception site
    • OK: https://www.example.com/someApplication/
    • NG: https://www.example.com/someApplication/filename.html
  8. OKをクリックすると、画面が閉じます。暗号化されていないプロトコル(httpやfileなど)を使うと別のプロンプトが現れる場合があります。暗号化されたプロトコルを選択することで潜在的な中間者攻撃(Man In The Middle Attack)を防ぎます。
    Man In The Middle Attack (Back Track Linux)
    http://back-track-linux.blogspot.com/2012/11/man-in-middle-attack.html
  9. コントロールパネルに戻り、OKをクリックして画面を閉じます。
  10. ブラウザでWebページをリロードしてRIAを立ち上げます。

Scaling distribution of the Exception Site List

Exception Site Listがエンドユーザーが自身のException Site Listを管理する目的で用意されているとはいえ、ほとんどのソフトウェア設定の変更は自動化することができます。
Exception Site Listを管理するファイルは、デプロイメント設定に記載されているように、ユーザーがデプロイした場所に格納されています。
Deployment Configuration File and Properties
http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/properties.html
筆者のWindows 7の環境では、この場所は以下になっています。C:\Users\ecostlow\AppData\LocalLow\Sun\Java\Deployment\security\exception.sites
フォーマットは1行ごとに1サイトです。

Sample customer support note

変更が導入されると、テクニカルサポートの担当者に対し詳細を尋ねるのが常なのですが、ダウンロード可能で、ちょっと調整してこの変更についてみなさまのお客様とお話する上で役立ててもらえるような、そんなテクニカルサポートノートを作成しているところです。本質的にはこのエントリの抜粋版で、How-toメッセージを強調したものです。

0 件のコメント:

コメントを投稿