OS X 10.8 Gatekeeper und Java-Applets

Question

Mit der neuen Version von OS X 10.8 wird der Gatekeeper die folgende Warnung veröffentlichen, wenn Sie versuchen, ein signiertes Java-Applet zu starten:

Das Applet wurde mit einem gültigen Code-Signing-Zertifikat unterzeichnet und funktioniert ordnungsgemäß auf anderen Plattformen sowie früheren Versionen von OS X. Wenn ich "Anwendungen zulassen von:" auf "Anywhere", funktioniert es richtig.

Soweit ich herausfinden kann, "die digitale Signatur konnte nicht bestätigt werden", bedeutet eigentlich etwas wie "Die Signatur wurde nicht mit einem Mac-Entwickler-ID erstellt.

So: Kann ich Java-Applets mit einer Mac-Entwickler-ID unterschreiben?Kann ich es mit einem Mac-Entwickler-ID und einem Standardcode-Signaturzertifikat unterschreiben?Gibt es einen besseren Ansatz?

Answer 1

Hier ist die Antwort, die ich von Apple Developer technisch unterstützt habe:

Vielen Dank für Ihre Geduld, während wir das untersucht haben.

Der Alarm wird von Java präsentiert, nicht von Gatekeeper. Du bist jedoch Korrigieren Sie, dass die Überprüfungslogik auf OS X Mountain Lion geändert wurde.

Seit einiger Zeit wurden Benutzer mit dieser Warnung angezeigt, wenn Wenn Sie ein unterschriebenes Applet ausführen, können Sie der Java mit signierten Applets entgehen Sandkasten und unerwartete Änderungen an dem Benutzersystem vornehmen. Benutzer haben es Die Option, um das Kontrollkästchen "Alle Applets von" zuzulassen, wenn Sie vertrauen dem Entwickler und sehen also den Alarm nicht wieder Es sei denn, sie entfernen den Artikel aus den Java-Sicherheitseinstellungen.

Was in Mountain Lion geändert hat, ist, dass die Überprüfungswarnung jetzt bedeutet grundsätzlich, dass die Signatur des Applets gültig ist, sondern das Applet ist von einem nicht identifizierten Entwickler und versucht, Privilegien zu eskalieren Wenn der Gatekeeper aktiviert ist und der Benutzer entscheiden muss, ob er zulassen soll das.

"nicht identifizierter Entwickler" bedeutet eine andere Quelle als der Mac App Store oder ein Entwickler-ID-identifizierter Entwickler. Beachten Sie, dass Java-Applets nicht können Teilnahme am Entwickler-ID-Programm.

Wenn Gatekeeper eingestellt ist, um nur Mac App Store-Apps vertrauen, dann werden Sie dies tun nicht in der Lage sein, das Applet in der vertrauenswürdigen Liste hinzuzufügen, es sei denn, Sie fügen das hinzu Applets-Zertifikat an das Schlüsselbund mit dem erscheinenden Blatt Nachdem Sie auf Details geklickt haben.

nicht signierte Applets dürfen der Java-Sandbox überhaupt nicht entkommen.

Dies stimmt mit der Behandlung von Native MAC-Apps des Gatekeeper überein; Apps von nicht identifizierten Entwicklern dürfen standardmäßig nicht ausgeführt werden.

Wenn Sie das Wortlaut des Alarms ändern möchten, feilen Sie bitte ein Fehlerbericht bei https://developer.apple.com/bugreporter .

Dies bedeutet grundsätzlich, dass es keine Möglichkeit gibt, das Applet so zu unterzeichnen, dass Sie diese Botschaft vermeiden können, die angezeigt wird. Ich habe einen Fehlerbericht an Apple eingereicht, der besagte, dass ich möchte, dass das Wortlaut der Nachricht geändert werden soll, um keine Wörter wie nicht identifiziert, ungeprüft, unsicher zu enthalten und gemütlich, wenn sie das Applet zum Ausführen ermöglichen, um ihnen zu gewährleisten, dass das, was sie zulassen, in Ordnung und überprüft werden, und es wird ihren Computer nicht schaden, und wir müssen es an einem Ort zeigen, an dem es an einem Ort teilt wird sichtbar sein, um ihre Augen damit zu stecken.

Answer 2

Sie haben Ihre eigene Frage beantwortet. Gatekeeper ist der Ansicht, dass Zertifikate / Signaturen, die von Apple nicht ausgestellt wurden, nicht vertrauenswürdig sind.

Apple-Dokumentation zeigt Ihnen, wie Sie Ihr Zertifikat exportieren können.Sie können es dann wie gewohnt verwenden. Das Codesign Befehl kann auch den Trick tun.