自签名小程序..只有套接字权限？答案

【问题标题】：Self-signed applet.. with only socket permissions?自签名小程序..只有套接字权限？
【发布时间】：2011-09-18 08:34:00
【问题描述】：

我有一个自签名小程序，当用户接受证书时它会获得完全权限。我的小程序只需要套接字（连接/解析）权限。有什么方法可以指定这个，这样用户就不会收到警告说“这个应用程序将拥有完整的权限，并且可以访问你的网络摄像头/麦克风等”.. 而只是得到一个警告说这个应用程序将有套接字权限？

我知道用户可以通过编辑他们的策略文件来手动允许这样做。但 webstart/jnlp 不能向用户询问特定权限，而不仅仅是所有权限？

【问题讨论】：

如果你用鼠标向下滚动，在右边你可以看到相关的话题，也许有/是你的答案直接
我不这么认为。 Netalyzr 是一个“正确”签名的应用程序，它要求所有权限，尽管它只需要套接字权限（我相信作者宁愿在可能的情况下给予它受限的权限）；然而，超过 90% 的人点击“是”。对话框通常建议单击“否”会阻止它完全运行，这无济于事。

【解决方案1】：

..webstart/jnlp 不能向用户询问特定权限，而不仅仅是所有权限？

没有。除了可信/all-permissions 和沙盒之外，JWS 只提供了一种安全级别。该安全级别为j2ee-application-client-permissions。 JACP 提供了比沙盒更多的权限，我不确定它是否包含套接字权限。

【讨论】：

【解决方案2】：

我无法想象普通用户会知道套接字权限的含义，更不用说授予它的含义了。

小程序没有受限的权限模型（除了在使用 JNLP 小程序时相当奇怪的“J2EE 客户端”，但这是关于强制标准一致性而不是安全性）。 Netscape 模型确实允许选择权限，但这种方法是失败的。

为什么需要联系不同的源服务器？你不能使用（记录的）端口转发吗？还是通过 http 并使用有限的 crossdomain.xml 支持？

【讨论】：