OS X 10.8 Gatekeeper e Applets Java

Question

Com a nova versão do OS X 10.8, o gatekeeper exibirá o seguinte aviso, quando você tentar iniciar um applet Java assinado:

O applet foi assinado com um certificado de assinatura de código válido e funcionará corretamente em outras plataformas, bem como versões anteriores do OS X. Se eu alterar "Permitir que os aplicativos baixados de:" Para "em qualquer lugar", ele funciona corretamente./ p >.

Tanto quanto eu posso descobrir "A assinatura digital não pôde ser verificada", na verdade significa algo como "A assinatura não foi feita com um ID do desenvolvedor Mac".

Então: posso assinar applets Java com um ID do desenvolvedor Mac?Posso assiná-lo com o ID do desenvolvedor Mac e um certificado de assinatura de código padrão?Existe uma abordagem melhor?

Answer 1

Aqui está a resposta que recebi do Suporte Técnico da Apple Developer:

.

Obrigado pela sua paciência enquanto investigamos isso.

O alerta é apresentado por Java, não por gatekeeper. No entanto, você é Corrija que a lógica de verificação foi alterada no leão de montanha OS X.

Por um tempo agora, os usuários foram apresentados com este alerta quando Executando um applet assinado, porque os applets assinados podem escapar do java Sandbox e faça alterações inesperadas no sistema do usuário. Os usuários têm a opção de verificar o "permitir todos os applets de" caixa se Eles confiam no desenvolvedor e, portanto, eles não verão o alerta novamente a menos que eles removam o item das preferências de segurança Java.

O que mudou no leão da montanha é que o alerta de verificação agora basicamente significa que a assinatura do applet é válida, mas o applet é de um desenvolvedor não identificado e está tentando escalar privilégios Quando o gatekeeper está ativado e o usuário tem que decidir se deve permitir isso.

"desenvolvedor não identificado" significa uma fonte diferente da loja de aplicativos Mac ou um desenvolvedor identificado por ID. Note que os applets Java não podem participar do programa de ID do desenvolvedor.

Se o gatekeeper estiver configurado para confiar apenas nos aplicativos do Mac App Store, você não ser capaz de adicionar o applet à lista confiável, a menos que você adicione o Certificado do Applet para o chaveiro usando a folha que aparece Depois de clicar em mostrar detalhes.

applets não assinados não podem escapar da caixa de areia Java.

Isso é consistente com o tratamento do gatekeeper de aplicativos Mac nativos; Os aplicativos de desenvolvedores não identificados não podem ser executados por padrão.

Se você gostaria de ver a redação do alerta alterado, por favor arquive um Relatório de Bug em https://developer.apple.com/bugreporter .

Isso significa basicamente que não há como assinar o applet de tal forma que você possa evitar que esta mensagem seja exibida. Eu arquivei um relatório de bug para a Apple dizendo que eu quero que a redação da mensagem seja alterada para não conter palavras como não identificadas, não verificadas, inseguradas ... porque esse é o ponto inteiro de assinar os applets, para que os usuários possam sentir todos os e aconchegante por dentro quando eles precisam permitir que o applet seja executado, para assegurá-los de que o que eles estão prestes a permitir que é ok e verificado e não fará nenhum dano ao seu computador, e precisamos mostrá-lo em um lugar onde será visível, para cutucar seus olhos com isso.

Answer 2

Você respondeu sua própria pergunta. O gatekeeper considera que os certificados / assinaturas não são emitidos pela Apple não são confiáveis.

documentação da Apple Dizerá como exportar seu certificado.Você pode então usá-lo como de costume. O codesign comando também pode fazer o truque.