Bon comme vous avez tous pu le voir , il semblerait que ce sujet soit taboo ici , sans compter les tres nombreux topic qui pullulent toutes les semaines....
Donc voici un petit tutoriel:
 
Pourquoi signer une applet?
 
Une applet a des restrictions des sécurités:  

• Elle ne peux pas lire un fichier present sur le disque dur de celui qui la lance.
• Elle ne peux pas non plus ecrire sur le disque dur de celui qui la lance.
• Elle ne peux pas se connecter via des sockets à un host qui n'est pas celui a partir duquel elle est téléchargée.
• Si vous en avez d'autre n'hesitez pas

En signant votre applet donc, vous pouvez faire ce genre de choses.
 
Comment signer?
 

• Il faut d'abord vous créer un certificat; il faut pour cela utiliser l'outil keytool.exe (present ds le JDK)

• Puis signer vos archives en utilisant votre certificat ( qui n'as aucune valeur serieuse)

jarsigner -signedjar NomDuJarSigné jarAsigné jerry
 

 
 
voila un debut , j'ajouterai des choses au fur et a mesure que ce sera possible

Bonne initiative.

sympa  

tiens question tu les définis où les droits que tu files à l'applet signée?

 
j ai rien vu spécifiant que tu pouvait choisir quel droit elle dispose; en gros qd elle est signé elle a tout les droits  

Ahhh un super grand merci je cherchais ca depuis lgtps!!!!
       
 
Ben

j'ai du mal a suivre....c'est bidon non ?
je veux dire si tout le monde peut signer son applet alors les restrictions de secu servent a rien du tout ?

 
bin t'as pas besoin de dire que tu acceptes quoi
 
Et si mes souvenirs sont bon, il y a moyen de voir le genre de droits qui ont été acceptés dans le certificat en question.
 
Parce que si tu prends la situation dans l'autre sens, ca veut dire que si tu veux faire une applet qui se connecte sur le serveur brol port truc tu dois passer par un organisme de confiance et ca coute la peau du cul -> tu fermes la porte a pas mal de développement.

ça veut dire que le premier lancement de l'applet te demande la permission? ça va pas contre le principe de l'applet en général?

bah le principe de base d'un applet, c'est de pas toucher à ton système. Si tu désires modifier ce principe, il est normal que l'utilisateur en soit averti, non?

averti oui, mais conscient? y a pas de risque de sécurité, genre des passe-droits pour passer outre la demande de confirmation?

c'est le browser qui est sensé garantir ca ... comme toujours ...
 
veryfree >
dark > si c'est aps déjà fait, ca mérite une entrée dans la javafaq

C'est quoi ce modo qui blablate sur des posts sérieux ?
 
 
 
 
 
Où est ce que j'ai rangé ma fourche et mon pic moi déjà ...

me suis planté de topic  

Effectivement c'est pas mal du tout, ça m'aide bien    
 
Mais j'ai une p'tit question. Savez-vous à partir de qu'elle version de la sdk les signatures sont prises en compte ? Visiblement, aprés test, il semble que cela ne fonctionne pas sous une 1.3 assez récente (1.3.7 peut être mais sans certitude)
 
Merci

depuis le début normallement. Et avec une 1.3 y a aucun problème

Je n y arrive pas!!!
vu que mon probleme est prend bcp de place je l ai mis ici:
http://forum.hardware.fr/forum2.ph [...] subcat=390
pour le pas trop encombrer ce topic
 
merci ben

merci  
 
j'ai cherché tout l'après-midi comment signer une applet, mais tous les liens sur internet sont complètement obsolètes. les seuls tutoriaux datent de 1999, époque où il fallait du code spécifique pour netscape et IE

j'ai perdu le drapal de mon propre topic

drapal

je crois qu'il y aura rien de nouveau hein

voila un tutorial pour signé son applet et avoir les droits qu'il faut:
 
ici

2 liens biens :  
http://java.sun.com/security/signExample/
http://www.developer.com/java/ent/article.php/3303561

Je complète un petit peu avec un extrait d'un rapport fais y'a pas longtemps de cela.
 
 
Procédure pour la création d’un certificat
 
1. Générer notre clé publique
Toutes vos clés vont être stockées dans la keystore. Cette base de clé est
automatiquement créée si elle n’existe pas déjà. Voici la commande pour générer une
clé :
    keytool -genkey -alias cle_ImyApp
Lexique:
-genkey: active la génération des clés publique et privée.
-alias: permet de donner un nom à la clé.
Lors de la création de la clé, plusieurs paramètres seront demandé : un mot de passe
pour la keystore, le nom et prénom du signataire, le nom de l’organisation, de la ville, du
pays et le code du pays.
 
2. Signer le fichier archive
Cette commande permet de signer l’archive :
    jarsigner -verbose i_myApp_admin.jar myApp
Pour vérifier que votre signature a bien été mise sur le fichier, utilisez la commande
suivante:
    jarsigner -verify -verbose -certs i_myApp_admin.jar
 
3. Générer le certificat
Utiliser cette commande pour générer le certificat :
    keytool -export -alias cle_ImyApp -file ImyApp.cer
Options:
-export: permet de lire le clé associée à cle_ImyApp.
-file: nom du fichier de sortie contenant le certificat (extension .cer).
Source: http://www.securingjava.com/appdx-c/appdx-c-6.html

merci pour ce topic très instructif
est-il possible d'avoir une applet non signée, qui va charger un JAR signé ? ex : j'ai une appli, et quand je veux utiliser un certain plugin, il me faut les droits d'écriture sur disque, mais seulement à ce moment là.

 
oui

excellent !!
je viens d'essayer, et en effet ça fonctionne du tonnerre
merci beaucoup, vous me sauvez la journée

 
ben nan (ou alors j'ai à nouveau rien compris).  
Dans un policy file, on définit un certain nombre de permission domain, (en gros ce sont les différents blocs grant). Or la syntaxe d'un bloc grant c'est qqchose du genre:
 
grant [codebase "l'endroit d'ou le code est chargé"]
      [signedBy "la personne qui à signé l'applet"]
{
    les permissions qu'on veut accorder à l'applet signée par la personne en qui on a confiance et qui a été chargée depuis le site qu'on voulait  
}
 
donc elle a pas tout les droits... Même pire, s'il n'y a pas de bloc grant avec un "signedBy" correspondant, elle ne devrait pas avoir plus de droit que si elle n'était pas signée... autrement ce serait trop simple

Et tu fais comment pour que les utilisateurs qui vont télécharger (utiliser) l'applet sur ton site pour qu'ils ayent leur policy file qui marche tout seul ?
 

ben c'est là qu'on est dans le caca... c'est une d'ailleurs une question que j'avais posée il y a un moment sur ce forum. Quand tu utilises une api, une application ou n'importe quel code que tu n'as pas étudié en détail, y'a aucun moyen évident et simple de savoir quelles sont les permissions minimales qu'il faut mettre dans le policy file pour que l'applic fonctionne quand tu veux la faire tourner avec un security manager. Si c'est pas documenté, c'est cuit... Ou alors tu fais confiance à un code signé et tu mets un AllPermission

mon applet est signé et elle fait ce qu'elle veux
 
aucune restriction.

merci pour ton post tres interessant.
je voulais savoir à quoi sert la generation du certificat ? on en fait quoi de ce fichier .cer ?
 
 
 

y'a pas un soft qui fait ça de manière automatisée ?
nan parce que ça le faire une fois ok, mais si on reteste à peu près toutes les 20 minutes c'est l'enfer.

 
Pourquoi le signer à chaque fois ton applet quand tu veux le tester ?? t'as qu'a pas le signer et le tester en local non ?
 
Enfin personnellement je le signerais que quand son développement est terminé !

un .bat fait l'affaire...

Bonjour,
 
J'ai signé une applet selon la méthode évoquée ici. J'ai fais des tests avec un serveur apache sur un environnement windows, et ca fonctionnait très bien.
 
J'ai répété la même opération sur mon serveur linux, la signature s'est bien passée, mais quand les utilisateurs chargent l'applet, ya une fenetre qui apparait ou il est écris a peu pres ce qui suit :  " Discordance de nom d'hote : l'autorité qui a signé cette applet est localhost.localdomaine, or l'hote actuel est 192.168.XXX.XXX" .
Puis il est demandé à l'utilisateur si il accepte quand meme l'applet, et si ce dernier accepte, le chargement de l'applet se fait.
 
En résumé ca fonctionne, mais ca fait apparaitre une fenetre supplémentaire lors du chargement de l'applet.
 
Quelqu'un a déjà eu ca ? Je pense que ma question concerne surtout les utilisateurs de linux, par ce que sous windows le cas ne s'est pas produit.
 
merci d'avance de vos aides.