Thema dieser Dokumentation / Das FirstSpirit 5 Modul- / Komponenten-Modell / FirstSpirit Security Architektur - Java Web Start (javaws)

FirstSpirit Security Architektur

Inhaltsverzeichnis

Java-Programme laufen normalerweise in einer „Sandbox“ ab. D.h. sie haben keinen vollwertigen Zugriff auf den Rechner, auf dem sie ausgeführt werden, und dessen Ressourcen, sondern können nur innerhalb der Java-VM (Java Virtual Machine) arbeiten. Der Zugriff auf lokale Ressourcen wie Dateien, Zwischenablage, Netzwerk etc. geschieht über einen Security-Manager. Dieser ist normalerweise entsprechend den Sicherheitsanforderungen konfiguriert. Praktisch heißt das:

  • Programme, die direkt (z. B. von der Konsole) gestartet werden, haben alle Privilegien;
  • Programme, die über einen Netzwerkverbindung gestartet werden (Applets oder Applikationen), haben erstmal keine Zugriffsprivilegien auf lokale Ressourcen.

Alle FirstSpirit-eigenen Module sind mit dem „e-Spirit GmbH“-Schlüssel signiert. Dieser ist wiederum Bestandteil der FirstSpirit-eigenen Security-Policy. Des Weiteren ist der Schlüssel von einer Root-Authority bestätigt, die wiederum dem Java Zertifikat Manager bekannt ist.

Signieren von JAR-Dateien

Einschränkungen ergeben sich in der Nutzung einiger Funktionalitäten für nicht von e-Spirit signierte Module bzw. in den JAR-Archiven enthaltene Klassen.

Um Zugriff auf lokale Ressourcen bzw. sicherheitsrelevante Ressourcen zu erlangen, sollten die in einem Modul enthaltenen Archive und somit deren Klassen mit einem eigenen vertrauenswürdigen Schlüssel signiert werden.

Was bedeutet dieses nun für externe Komponenten/Module, die auf sicherheitsrelevante Funktionalitäten zugreifen müssen?

JAR-Archive bzw. die darin enthaltenen Klassen müssen signiert sein, der Signaturschlüssel muss im Java-Zertifikat-Cache auf dem Client importiert werden (importierte Zertifikate überprüfen mittels: jcontrol unter dem Reiter Security.)

Der FirstSpirit Security-Manager

Wichtig Alternativ kann der FirstSpirit eigenen Security-Manager sowie der Security-Classloaders verwendet werden.
Die Zuweisung von Rechten auf Modul-Ebene wird über den FirstSpirit ServerManager vorgenommen (siehe Verwendung des FirstSpirit Security-Managers/Classloaders).

© 2005 - 2024 Crownpeak Technology GmbH | Alle Rechte vorbehalten. | FirstSpirit 2024.12 | Datenschutz