У меня есть Java-апплет, который не нуждается в каких-либо специальных привилегиях для запуска (т. Е. Он отлично работает в песочнице), но который ожидает, что пользователь введет какую-то конфиденциальную информацию. Поэтому я хотел бы, чтобы пользователь мог проверить происхождение апплета.Отличия подписанных Java-апплетов
Затем я подписал апплет, и все работает правильно. Очевидно, браузер допускает подпись; для тестирования я попытался выполнить PrivilegedActions, и все сработало. Однако браузер не информирует пользователя о том, что браузер подписан - с точки зрения пользователя, как неподписанные, так и подписанные версии апплета выглядят точно так же.
Итак, мой вопрос: есть ли способ дать указание браузеру предоставить полномочия подписи пользователю или что-то подобное?
Doh! Вы правы, «всегда доверие» включено по умолчанию, и я забыл его отключить. Проблема с использованием https заключается в том, что я хочу разрешить распространение апплета третьими сторонами, но не обязательно доверять им конфиденциальную информацию, введенную в апплет. Любое предложение о том, как достичь этого (разрешить распространение + предотвратить несанкционированное вмешательство)? – oggy
Подписывание апплета самостоятельно - единственный способ убедиться, что он не злонамерен. Одним из вариантов может стать подписание JAR с помощью классов бизнес-логики и создание апплета, который также будет подписан. Дайте исходный код апплета (или неподписанного апплета) третьим сторонам, но у вас есть JAR с вашей бизнес-логикой, подписанной вами. Таким образом, третьи стороны не изменят ваш код, но смогут представить свои собственные подписи для апплета. –
@Eugene: но как пользователь может проверить, что JAR с бизнес-логикой подписан мной? – oggy