ブラックリスト Jar 機能

6u14 には、署名付き JAR ファイルのブラックリスト機能のサポートが追加されました。ブラックリストは、信頼できないアプレットやアプリケーションによって利用される可能性がある重大なセキュリティーの脆弱性を含む署名付き JAR のリストです。システム全体のブラックリストは、JRE リリースごとに配布されます。Java Plug-in と Java Web Start は、このブラックリストを参照して、ブラックリストに載っている JAR ファイルに含まれる任意のクラスまたはリソースのロードを拒否します。デフォルトでは、ブラックリストのチェックは有効になっています。この動作は、deployment.security.blacklist.check 配備構成プロパティーを使用して切り替えることができます。ブラックリストファイルは、プロパティー deployment.blacklist.url を使用して更新され、デフォルトは https://javadl-esd-secure.oracle.com/update/blacklist です。

ブラックリストのエントリは、deployment.system.security.blacklist プロパティーと deployment.user.security.blacklist プロパティーによってポイントされるブラックリストファイルの和集合です。デフォルトでは、deployment.system.security.blacklistjre/lib/security ディレクトリの blacklist ファイルをポイントし、deployment.user.security.blacklist はユーザーによって追加されたエントリを含むブラックリストファイルをポイントします。

ブラックリストは、次の形式のテキストファイルです。 

    attribute : value

ブラックリスト上の各 JAR ファイルは x-Digest-Manifest 属性によって識別されます。ここで、xMessageDigest アルゴリズムの名前であり、その値はマニフェストの Base64 でエンコードされたハッシュ値です。コメントは、# (シャープ) 記号で始まる行に記述します。

次はその例です。 

    # Buggy Utilities, version 1.0
    SHA1-Digest-Manifest : QONXbQg+EtNOguIOAgpUUOadhv8=
    # Malware Inc., version 99.99
    SHA-256-Digest-Manifest : SewaudBCZ3iXt1KX0BeFHpQiiM1xYLtvLw3Ow2RJfcs=
Copyright © 1993, 2013, Oracle and/or its affiliates. All rights reserved.