【发布时间】:2013-04-14 16:51:39
【问题描述】:
我的网站上有一个签名的小程序,它已经运行了将近一年。然而,今天,它给我的用户一个混合代码警告。我发现here 我碰巧使用的某些 Apache 组件可以生成混合代码警告。但是,有两件事让我担心。
首先,我的小程序包含一个签名的 jar 文件,当我使用
jarsigner -verify my_signed_file.jar时,我得到了jar verified输出。 (它没有链接到任何外部库,所有编译的代码都在这个jar文件中。)我突然收到此消息,尽管我的小程序 jar 已近一年未修改。我和我的客户都使用 Java 1.7 运行时有一段时间了,但没有收到此消息,为什么我们今天会收到此消息?
任何想法或想法将不胜感激。谢谢。
--杰
【问题讨论】:
-
您是否更新了 JRE?我相信最近发布了一个新版本(更新 21),现在可能对安全性更加严格。
-
如果您在小程序中进行 xml 解析,有时会向服务器发出 HTTP 请求以查找 XML 解析器。
-
关于@Antimony 的评论,请参阅Java 7 Update 21 Security Improvements in Detail。这实际上听起来像是一个小故障,因为该消息是无意义的,但我以 100 比 1 打赌你们现在都在使用更新 21。
-
在最新更新中,Java 不再支持自签名证书。