Oracle macht freie Java-Binaries sicherer – und funktionsuntüchtig
Wenn Java-Webstart-Anwendungen nicht mehr funktionieren, könnte das auf eine Sicherheitsmaßnahme von Oracle zurückzuführen sein. Betroffen seien Schnittstellen zu Java 3D und Java Advanced Imaging.
- Robert Lippert
Nutzer klagen seit kurzem darüber, dass Java-3D-Anwendungen (als Applet) ebenso wie Java-Webstart-Anwendungen sich mit einem Hinweis auf unsignierte jar-Dateien nicht mehr ausführen ließen. Aus einer Forenmeldung von Kevin Rushforth, Principal Member of Technical Staff bei Oracle, gehen nun erste Hinweise hervor. So wurden Java-Binaries früher bei Sun mit einem Zertifikat versehen. Oracle sei nun jedoch zu dem Schluss gekommen, dass es ein Sicherheitsrisiko darstellen könnte, diese Binaries mit veralteten Sun-Zertifikaten auszuzeichnen – und habe die Zertifikate daher für Binärdateien unter download.java.net entfernt. Entsprechend lassen sich Anwendungen, die diese Zertifikate abfragen, nicht mehr ausführen.
Anwender, die Java-3D-Apps als Applet oder Java-Webstart-Anwendung weiterhin nutzen möchten, müssen ihre Dateien nun zunächst selbst signieren. Rushforth empfiehlt dazu folgende vier Schritte:
- Download der Dateien
- java3d-1.5.2.jnlp
- vecmath.jar
- sowie aller Java-3D-jars aus dem Verzeichnis download.java.net/media/java3d/webstart/release/j3d/1.5.2/
- Signieren aller jar-Dateien mit einem eigenen Zertifikat (oder per Self-Signing).
- Alle JNLP- und jar-Dateien zusammen mit der Anwendung abspeichern.
- Die JNLP-Datei um den richtigen Pfadnamen ergänzen.
Oracles Entscheidung, die alten Zertifikate nicht weiter auszuliefern, stieß bereits auf erste Kritik. Unter anderem wird dem Unternehmen vorgeworfen, die Anwender nicht rechtzeitig informiert zu haben. Tatsächlich findet sich auf den Projektseiten derzeit kein Hinweis auf die fehlenden Zertifikate. (rl)
