Java 7u4 webstart安全性异常:类与信任级别不匹配

分类:Java作者:佚名
我们开始注意到,使用 Java 7(特别是更新4),我们的所有用户都开始使用我们的Webstart应用程序看到这一点: 
[14:42:58,422] AWT-EventQueue-0(DEBUG) java.lang.SecurityException: class "CLASSNAME" does not match trust level of other classes in the same package
[14:42:58,422] AWT-EventQueue-0(DEBUG) at com.sun.deploy.security.CPCallbackHandler$ChildElement.checkResource(Unknown Source)
[14:42:58,422] AWT-EventQueue-0(DEBUG) at com.sun.deploy.security.DeployURLClassPath$JarLoader.checkResource(Unknown Source)
[14:42:58,422] AWT-EventQueue-0(DEBUG) at com.sun.deploy.security.DeployURLClassPath$JarLoader.getResource(Unknown Source)
[14:42:58,422] AWT-EventQueue-0(DEBUG) at com.sun.deploy.security.DeployURLClassPath.getResource(Unknown Source)
[14:42:58,422] AWT-EventQueue-0(DEBUG) at java.net.URLClassLoader$1.run(Unknown Source)
[14:42:58,422] AWT-EventQueue-0(DEBUG) at java.security.AccessController.doPrivileged(Native Method)
[14:42:58,422] AWT-EventQueue-0(DEBUG) at java.net.URLClassLoader.findClass(Unknown Source)
[14:42:58,422] AWT-EventQueue-0(DEBUG) at com.sun.jnlp.JNLPClassLoader.findClass(Unknown Source)
[14:42:58,422] AWT-EventQueue-0(DEBUG) at java.lang.ClassLoader.loadClass(Unknown Source)
[14:42:58,422] AWT-EventQueue-0(DEBUG) at java.lang.ClassLoader.loadClass(Unknown Source)...More

其中CLASSNAME =几乎每个类都在应用程序执行中的几个罐子中的随机点,打破了几个行为.
如果我们的用户使用Java 6,他们没有问题!只是7(更新4).
我们签署所有的罐子,主要的应用罐子和它的库罐子.即启动我们的webstart应用程序的用户看到蓝色盾牌而不是黄色或红色.

这显然是一个问题,因为用户现在更频繁地升级到Java 7.
我试图强制我们的应用程序在用户计算机上使用Java 6,使用以前的安装(工作),或者安装一个新的….使用j2se version =“1.6”标记围绕资源,但这会导致它自己的可能最好进入自己的线程(auto-jre-installation部分)的问题.

Oracle是否通过Java 7u4破坏了Webstart安全性?如何解决此securityexception问题?

解决方法

只是jarsigners hack签入的原始作者.我被另一个开发人员引导到这里,我最初与他分享了黑客攻击.

基于他对此的持续调查,您需要添加以下内容来调用hack

callNoArgMethod("getSigningData",jar);
makeHardLink("signingDataRef",jar);

callNoArgMethod("getManifest",jar);
makeHardLink("manRef",jar,n);

清单调用不是此帖的解决方案的一部分.在创建验收测试以重现问题时,会找到它们.

基于这个新信息,我们改变了我们的方法,我们现在使用反射来调用所有“get”方法(如果没有填充,则需要调用get方法来初始填充软引用)

然后反思地发现CachedJarFile类中的所有软引用并为它们创建硬链接.

只要CachedJarFile保持不变并且黑客的基本前提保持正确,这就可以在未来证明来自其他内部重命名/重构的解决方案. (即:对软参考进行软参考.

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐

IntelliJ Idea 常用快捷键列表
Alt+回车 导入包,自动修正Ctrl+N 查找类Ctrl+Shift+N 查找文件Ctrlʺlt+L 格式化代码Ctrlʺlt+O 优化导入的类和包Alt+Insert 生成代码(如get,set方法,构造函数等)Ctrlʾ或者Alt+Shiftʼ 最近更改的代码Ctrl+R 替换文本Ct
HTTP Status 500
运行程序出现下面错误:HTTP Status 500 ---------------------------------------------------------------------------------type Exception reportmessagedescription Th
使用manageprofiles来建立websphere的profile
1、建立DM的profile,使用的模版在install_root/profileTemplates/dmgr下句法为:manageprofile.sh -create -templatePath install_root/profileTemplates/dmgr调用参数为:-create 建立一
dom4j java.lang.NoClassDefFoundError: org/jaxen/JaxenException
使用dom4j解析XML时,要快速获取某个节点的数据,使用XPath是个不错的方法,dom4j的快速手册里也建议使 用这种方式,标题都写的这么阔气:Powerful Navigation with XPath。 方法是使用Document的selectNodes(String XPath)方法,代码
Intellij idea 乱码问题(英文操作系统)
英文操作系统导致 Debug 下的变量查看时显示乱码,可通过改变字体解决此问题。
eclipse中js报错
eclipse中javascript报错问题处理:三个地方:<1>"eclipse设置 ":Java代码window->preference->Validator->Errors/Warnings->Enable Javascript Sema
Win7下Eclipse中文字体太小
打开eclipse中文字体很小,简直难以辨认。在网上搜索发现这是由于Eclipse 用的字体是 Consolas,显示中文的时候默认太小了。解决方式有两种:一、把字体设置为Courier New操作步骤:打开Elcipse,点击菜单栏上的“Windows”——点击“Preferences”——点击“
Redis 密码设置
如果不加密码,默认只能本机访问,加密码也是为了安全考虑 1.进入Redis 的安装目录,找到redis.conf文件。用vi命令打开文件 输入 / requirepass 进行查找,输入n查找下一个。 (最好复制一个新的conf文件) 在红背景处设置密码 2.重启 Redis &
一台服务器部署多个tomcat
设置LINUX 自启动: 在/etc/rc.d/rc.local中加入: conf 目录下一个文件 server.xml
ArrayList、Vector和LinkedList等的区别与用法
ArrayList 和Vector是采用数组方式存储数据,此数组元素数大于实际存储的数据以便增加和插入元素,都允许直接序号索引元素,但是插入数据要设计到数组元素移动等内存操作,所以索引数据快插入数据慢,Vector由于使用了synchronized方法(线程安全)所以性能上比ArrayList要差,
UML中的五种关系
在实现设计模式之前,首先来复习以下UML中的五种关系图 依赖<关联<聚合<组合 <1>依赖 依赖关系用虚线加箭头表示,如图所示: 上图表示:Animal类依赖于Water类(动物依赖于水)。 依赖是类的五种关系中耦合最小的一种关系。因为依赖关系在生成代码的时候,这两个关
spring mvc 3 最简单demo
第一步:准备包:日志相关包jcl-over-slf4j-1.6.1.jarlogback-classic-0.9.29.jarlogback-core-0.9.29.jarslf4j-api-1.6.1.jarjstl包jstl-1.2.jarspring 相关包org.springframewor
Project facet Java version 1.7 is not supported
当运行这个web程序时,无法运行,提示错误如下: 当时安装的tomcat是tomcat7版本,安装的jdk版本是1.6。 配置的tomcat如下:window-Preferences-Server-Runtime Environment,添加tomcat。如下: 检查多次,tomcat安装,环境配置
diamond operator is not supported in -source 1.5
代码中 会让补全,否则会报 diamond operator is not supported in -source 1.5 需要在POM中指定 source 版本号
Error:java: invalid source release 无效的源发行版: 8
原因:这是由于jdk的版本与项目的要求不一致造成的,如果是maven项目,首先查看一下pom.xml,以我的项目为例: 从其中可以看出要求的编译插件为1.8版本,而我本机上安装的jdk为1.7版本,因此需要首先下载安装1.8版本的jdk下载链接为 jdk下载链接 然后在intellij idea中点
Unable to start web server; nested exception is org.springframework.context.ApplicationContextException: Unable to start ServletWebServerApplicationContext due to missing ServletWebServerFactory bean.
照着教程弄的第一个 DEMO,结果启不来。 解决办法:在Controller 上面加上 @EnableAutoConfiguration 成功启动 Demo的其它内容及配置如下图,新建一个 空的 Maven 项目 Pom.xml 主界面: Control.java 运行报错 :: Spri
Intellij 高亮显示与选中字符串相同的内容
如下图所示,我的是 2018,不同版本,Schema 可能要 Save As一下
Vue打包发布Tomcat、Ngins,刷新报错404解决方法
Ant Design Pro Vue 打包发布到Tomcat后,刷新报错404解决方法 在应用下面加 WEB-INF 建 web.xml 内容如下 <?xml version="1.0" encoding="ISO-8859-1&qu
正则查找符合条件的数据
效果如图: JAVA 代码 public static void main(String[] args) throws Exception { String str = "<row PTID=\"80268175\" ZYH=\"2002868
org.apache.xerces.dom.ElementNSImpl.setUserData(Ljava/lang/String;Ljava/lang
HTTP Status 500 - Handler processing failed; nested exception is java.lang.AbstractMethodError: org.apache.xerces.dom.ElementNSImpl.setUserData(Ljava/
pythonJavaScriptjavaHTMLPHPreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-boot