selvcertificering af applet

Hvis ikke certifikatkæden ender i et trusted certifikat, så er kæden per definition ikke sikker. Et selvsigneret certifikat er dermed kun sikkert, hvis det installeres i klientens certifikat-store.

Se på det fra brugerens synspunkt. Du leverer en applet til mig som i princippet kan lave hvad som helst på min pc. Når jeg checker dit certifikat, så siger et selvsigneret certifikat i bund og grund: "Dette certifikat tilhører Asky; det garanterer jeg. Signeret Asky". Det har jeg ikke den store grund til at stole på overhovedet.

Hvis dit certifikat derimod viser en kæde, der ender hos VeriSign eller lignende, så er der omvendt stor grund til at stole på at appletten vitterlig kommer fra Asky.

Nu er min programmering i Java for sjov - eller som en interessant hobby. Det er ikke noget, jeg tjener penge på, derfor har jeg ikke meget lyst til at betale tusindvis af kroner hos VeriSign eller andre. Måske er det en ide at skifte til et andet programmeringssprog? Hvis det ikke er for besværligt. Jeg har før programmeret i visual Basic, men fandt den gang, at Java var mere interessant.

Dit problem er ikke sproget men snarere, at du gerne vil have at andre kører din kode. Tendensen er i dag (heldigvis), at det er besværligt at eksekvere ikke-trusted kode fra en browser. Mange problemer med malware for Hr og Fru Jensen ville blive langt mindre, hvis ALT kode skulle være code-signed.

Hvad er dit setup? Dvs. hvad laver din applet og hvordan forestiller du dig andre skal køre den?

I forbindelse med efteruddannelse har jeg lavet små undervisningsopgaver, som har ligget på mit arbejdssteds elevcomputere. Det er meningen at eleverne skal lave forskellige øvelser/opgaver for at lære om det pågældende emne. derfor har jeg indlagt forskellige features som points-optælling for at kontrollere udbyttet. Elever fra andre skoler kan naturligvis også lave opgaverne. Fordelen ved, at opgaverne ligger på en hjemmeside, er at der ikke skal installeres noget før opgaverne kan køre. Opgaverne er oprindeligt lavet omkring 2002 og i øjeblikket er jeg ved at renovere dem.

Som del af renoveringen kan du jo se, om du kan gøre applet'en i stand til at køre usigneret.

Du kan osse checke JavaWS, men jeg tvivler på det hjælper dig (du ender formodentlig med samme signeringsproblematik).

Hvis du ved klinterne har .Net, så vil ClickOnce nok være bedste bud. Men skal du skrive det hele om, så vil det alt andet lige være smart at overveje JavaScript. Så er du fri for run-times og signaturer.

Det korte af det lange er, at en signeret applet er en risiko og det er en GOD ting, at der advares mod at køre en signeret applet generelt og en selv-signeret i særdeleshed.

Du mener, at jeg lige så godt kan køre usigneret?

JavaScript kender jeg lidt til, desuden PHP, men det vil være et stort arbejde at omarbejde.

Hvis ikke applet'en laver ting som kræver særlige privilegier, så burde den kunne køre usigneret. At signere en applet svarer lidt groft til at råbe: "jeg vil pille, rode, rage i din PC"

Der er heller ikke noget galt i, at du har en selvsigneret applet. Folk du underviser kan du sagtens forklare, at det er ok, at de kører den trods advarsler.

Jeg har tænkt mig at samle opgaverne på en side, hvor jeg forklarer, hvad det går ud på. Folk som kender mig vil så ikke være i tvivl, om de tør køre opgaverne. De kan også finde mit navn i signeringen.
Tak for diskussionen - læg venligst et svar.

Selv tak