Отличительные подписанные Java-апплеты

Question

У меня есть Java-апплет, который не нуждается в каких-либо специальных привилегиях для запуска (т. Е. Он отлично работает в песочнице), но ожидает, что пользователь введет некоторую конфиденциальную информацию.Поэтому я хотел бы, чтобы пользователь мог проверить источник апплета.

Затем я подписал апплет, и все, кажется, работает правильно.Браузер, очевидно, принимает подпись;в тестовых целях я попытался выполнить PrivilegedActions, и все заработало.Однако браузер не информирует пользователя о том, что браузер подписан - с точки зрения пользователя, и неподписанные, и подписанные версии апплета выглядят совершенно одинаково.

Поэтому мой вопрос: есть ли способ проинструктироватьбраузер для предоставления полномочий подписи пользователю или что-то подобное?

Answer 1

Во-первых, это недопустимое использование для подписи фляги .

Вы когда-нибудь забывали снять флажок всегда доверять?

ВернутьсяПервый момент, потому что это довольно важно.Подписывая флягу, вы помещаете название сертификата в утверждение, что это безопасно.Обратите внимание, что быть намного безопаснее, чем не быть злонамеренным.Диалоговое окно безопасности, которое спрашивает, хочет ли пользователь предоставить полный локальный пользовательский доступ, всплывает, если какой-либо код где-либо встречается, подписано.Это не означает, что какой-то конкретный набор пикселей взят из искаженного источника.

Правильный подход - использовать https.