簽署的小程式自動運行為不安全

簽署的小程式自動運行為不安全

我的應用程式作為自簽名小程式部署給全國(挪威)50 多所學校的數千名用戶。使用者會看到標準的 Java 安全性警告,詢問他們是否接受簽名。當他們這樣做時,小程式就可以完美地運行。

然而,大約半年前,由 7 所學校組成的一組(全部隸屬於一個共同的 IT 部門)不再收到安全警告。相反,小程式會載入並開始在不受信任的模式下運行,而不會先向使用者提供接受或拒絕簽名的選項。

問題出現在 Windows 電腦上,並且僅當電腦連接到學校網路時才會出現。如果他們將同一台機器帶回家,則該程式將按其應有的方式運行,並顯示安全警告和所有內容。

一般來說,我對 Windows 系統知之甚少,但我認為這將是某種策略檔案或當機器連接到/通過學校網路時加載的東西。

此外,這 7 所學校是在不久前發生安全漏洞後進行更改後才開始出現該問題的。 IT 部門陷入了困境。我很困惑。

有什麼想法、意見、建議嗎?

答案1

我不是瀏覽器安全專家,但我可以想像瀏覽器的安全設定已更改為處理所有不受信任的憑證(自簽名憑證不是由受信任的憑證授權單位 (CA) 簽署的,因此可能來自任何人)由於安全漏洞而變得不安全。

這與不發出警告一致,我只能想像這意味著自我證書會自動標記為不受信任,這就是為什麼小程式僅在不受信任模式下運行的原因。

答案2

您的使用者是否嘗試清除其電腦上的憑證?

控制台/Java/安全性/憑證/刪除?

正如 beny23 所說,他們可能錯誤地認為自簽名憑證不安全...

但這並不能解釋為什麼系統可以在家中運作...

答案3

我最好的猜測是自簽署的 jar 正在被網路代理過濾。

控制面板中有一個「允許使用者向不受信任的機構授予內容權限」選項。此外,OCSP 檢查已更改更新之間的預設配置,儘管我認為這對於自簽名可能並不重要。

我強烈建議不要接受自簽名證書。

相關內容