Sicherheitswarnung im Browser für Applets

[Glombi]

Ich hätte hier was für das Web-Forum...

Wenn man mit dem Browser eine Notes-Anwendung öffnet, in der die Applets (View, Outline, Action Bar) verwendet werden, bekommt der User die Sicherheitsmeldung "Installieren und Ausführen von Lotus Domino Applet..." (siehe Screenshot).

Der User soll in diesem Dialog "Inhalt von International Business Machines Corporation immer vertrauen" anklicken.

Gibt es eine Möglichkeit, dieses programmtechnisch (bspw. mit JavaScript) zu machen?
Evtl. kann man beim Starten der Anwendung programmtechnisch prüfen, ob das gesetzt ist. Falls nicht, das als "vertrauten Herausgeber" programmtechnisch eintragen und danach erst die eigentliche Startseite öffnen.

Andreas

[Semeaphoros]

Hmm, wenn das gehen würde, könntest Du mit einem Schlag die ganze Java-Sicherheit aushebeln

[Glombi]

Das ganze soll für einen Kunden gemacht werden, der verhindern will, dass die User diese Meldung bekommen. GGf. kann man die Installation des Internet Explorers entsprechend aktualisieren, also außerhalb von Notes über Betriebssystemmittel.
Ich kenn mich leider auf dem Gebiet nicht so aus...

Andreas

[Semeaphoros]

Gut, das war - für mich wenigstens - in Deinem Posting nicht ersichtlich. Definitiv geht es nicht über die HTTP-Verbindung - es sei denn, wir erlauben ihm mindestens einmal die Frage, denkbar, dass man da ein Active-X-Control runterschicken könnte oder auch ein Applet, das die Installation dann vornimmt. Aber mindestens dieses erste Applet muss die Sicherheitsfrage überleben.

Wobei, wenn wir mal soweit sind, weiss ich ehrlicherweise auch nicht, ob sich die Sicherheitseinstellungen programmatisch beeinflussen lassen. Vermute mal, mit genügend "Erforschungszeit" sollte es sobald wir hinter der Sicherheitsgrenze sind, möglich sein, den Installationsmechanismus zu simulieren oder so. Wenn man da mit Hilfe von Systemmanagement etwas runterpuschen könnte, ist es denkbar, so etwas zu machen --- aber wie gesagt, da hab ich auch keine Erfahrungswerte mehr.

[Semeaphoros]

Andere Frage: Spätere Versionen der Schablonen verzichten ja auf dies Äpflets und in N6 braucht es die ja - glaub - überhaupt nicht mehr. Kannst Du den Kunden nicht dazu bringen, in die Richtung zu arbeiten, bevor da jemand eine Uebergangslösung für eine Handvoll Monate mühsam zusammenbaut?

[Axel Janssen temp]

vielleicht geht das in die richtige Richtung:

http://saloon.javaranch.com/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic&f=23&t=001052

by Amit Agarwal:
Procedure for Configuring a Client Machine to accept the Signed jar File

1. Import the certificate in the cacerts file using:

keytool –import –alias myKeyName –keystore c:\progra~1\javasoft\jre\1.3\lib\security\cacerts –file myCertificate.crt

For running this command you will need to copy the myCertificate.crt file on the client machine and use the keytool command to manually import the certificate. This has to be done just once on a client machine for use of any applets that are signed using myKeyName. The jre in the Program Files folder is the default for the Java Plugin. This might be different for different operating systems, or other language windows versions. The certificate has to imported in the cacerts file of the lib/security folder of the jre that the java plugin will use.

Der analoge Ornder für Notes wäre Programmverzeichnis\security.
Falls das funktioniert, kannst du darüber nachdenken, wie man den Prozess automatisieren kann. Es ginge vermutlich mit apache.jakarta.ant, aber das ist eine relativ grosse Baustelle.

 
Im Applet forum von Javaranch kann Suche "Applet signed" auch zu einem Ergebnis führen. Sind > 200 Treffer.

Keine Zeit Axel

[MartinG]

Ehrlich gesagt hasse ich ja den IE wie die Pest - als Admin in unserer Firmengruppe habe ich Ihn seit Anfang diesen Jahres trotzdem zum alleinigen Browser für die normalen User erkoren und dies hauptsächlich weil er sich über die GPO's des AD so wunderbar remote administrieren lässt.

....alle Internet Explorer Sicherheitseinstellungen kann man über GPO's perfekt administrieren. Ich denke das eintragen des Dominoservers bei Vertrauenswürdige Sites und gegebenenfalls anpassen dieser Sicherheitsstufe dürfte ausreichen.

[Semeaphoros]

Grundsätzlich wohl schon, das war, was ich mit Systemmanagement meinte oben. Wobei, ich vermute jetzt mal, dass da wohl noch ein Public Key mitgeliefert werden muss, um die Signatur, die meines Wissens die Äpflets haben, prüfen zu können - aber da weiss vielleicht der temp-Axel was drüber?

[Axel Janssen temp]

Grundsätzlich wohl schon, das war, was ich mit Systemmanagement meinte oben. Wobei, ich vermute jetzt mal, dass da wohl noch ein Public Key mitgeliefert werden muss, um die Signatur, die meines Wissens die Äpflets haben, prüfen zu können - aber da weiss vielleicht der temp-Axel was drüber?

yup. genau richtig erkannt.
Ich seh das so:
Mit dem "sind für sie Applets der Organisation x sicher"-Dialog wird genau dieser public key in einen sagen wir certifier-container-File (*.crt) eingebunden. Ich vermute, dass man mit Amits Tipp diesen Prozess mit command-line tools auf den client Rechnern durchführen kann, ohne das beim user die GUI aufpoppt.
Ich müßte das mal ausprobieren.
Diese Zertifizierungsfiles sind Java-proprietär. Deshalb sehe ich die Wahrscheinlichkeit, dass MS das durch eigene Client-Admin-Prozesse/Tools unterstützt als sehr gering an.  
Die nächste Frage bestände darin, wie man solche Prozesse automatisieren kann. Ich würde es mit ant probieren.
Werd am WE mal schauen, ob ich da was sinnvolles hinbekomme.      

@Martin: Was sind eigentlich GPOs

Gruß Axel

[Semeaphoros]

<Fun>
GPOs sind wohl die Nachfolger der GPFs ....

GPF: General Protection Fault

GPO: General Protection disOrder

</Fun>

Man denke an die MS-Sicherheitsstandards ....

           

[MartinG]

@Axel: GPO sind Gruppenrichtlinien (vgl. Policies unter Notes6) womit man mit Microsoft ActiveDirectory sehr detailliert Client oder PC bezogen Einstellungen/Einschränkungen etc vornehmen.

Insbesondere der IE lässt sich bin in die kleinste Kleinigkeit genau darüber administrieren...

Einen ganz kleinen Einblick darüber erhälst Du wenn Du bei Start - Ausführen mal gpedit.msc eingibst und dann mal unter Benutzerkonfiguration - Administratrive Vorlagen - Windows Komponenten - InternetExplorer gehst...

Man kann das ganze durch entsprechende Vorlagen bis ins unendliche weitertreiben...