OS X 上 Java Web Start 应用程序的身份不明的开发人员

Posted 2023-02-19

技术标签:

【中文标题】OS X 上 Java Web Start 应用程序的身份不明的开发人员【英文标题】：Unidentified developer for Java Web Start application on OS X 【发布时间】：2013-11-15 01:15:17 【问题描述】：

在 Mac OS X 10.9 上，签名的 Java Web Start 应用程序默认被阻止并显示以下消息：

"application.jnlp" can't be opened because it is from an unidentified developer.

我知道可以削弱安全检查以允许任何应用程序运行，但这需要最终用户的手动干预。

是否可以对 Java Web Start 应用程序进行“签名”，使其被识别为来自已识别的开发人员？

谢谢

【问题讨论】：

【参考方案1】：

遗憾的是，Apple 在 macOS Big Sur 版本中删除了 System Preferences -> Security & Privacy 下的 Anywhere 选项。

当您收到以下消息时，以下是关于如何为未签名的 jnlp 文件覆盖 MacOS 安全设置 的非常简单的方法：

“file-name.jnlp”无法打开，因为它来自身份不明的开发人员。 macOS 无法验证此应用是否没有恶意软件。

按照以下步骤覆盖系统安全设置：

jnlp

Control + 单击

打开

Reference

另外你可能需要download OpenWebStart for macOS

【讨论】：

【参考方案2】：

Apple 似乎确实支持 webstart 的签名——但不是直接的。您必须将其捆绑在档案中。请参阅this页面底部的注释：

您可以使用 codesign 实用程序对 JNLP 文件进行签名，这会将代码签名作为扩展属性附加到 JNLP 文件。要保留这些属性，请将 JNLP 文件打包为 ZIP、XIP 或 DMG 文件。请谨慎使用 ZIP 格式，因为某些第三方工具可能无法正确捕获所需的扩展属性。

另请注意，非 Apple 开发人员不支持 XIP anymore：

重要提示：从 macOS Sierra 开始，仅扩展 Apple 签名的 XIP 档案。一直在使用 XIP 存档的开发人员将需要转而使用签名的安装程序包或磁盘映像。

【讨论】：

谢谢，我最终求助于创建一个适当的应用程序包来调用javaws https://example.com/application.jnlp。如果 jnlp 文件在下载时无法再自动执行，则保留它没有意义，即使它已使用其代码签名属性进行压缩。与压缩的 jnlp 相比，app bundle 有一些好处：1. Mac 用户更熟悉它，2. 它显示应用程序图标，以及 3. 当 jnlp 文件演变时无需重新签名。这个问题是在 3 年后回答的吗？无论如何。我想确认此更改是在 10.8 版中进行的还是作为 2013 年的安全更新进行的？【参考方案3】：

How to sign (dynamic) JNLP files for OSX and Gatekeeper 的答案解决了这个问题，忽略“动态”方面。

您可以codesign -f -s "Developer ID Application: " application.jnlp，但 HFS 资源不会与文件一起通过网络传输。

在 Oracle 找到解决方案之前，如果他们真的解决了 JNLP/Web Start 问题，看起来我们必须找到一种解决方法，让我们开始创建 Mac 应用程序包。

【讨论】：

【参考方案4】：

这似乎在 OS X 10.10 中发生了变化。现在转到 系统偏好设置 -> 安全和隐私 ->（解锁窗口）-> 允许从以下位置下载的应用程序：（选择任意位置）（尝试运行 .jnlp 文件后）您会看到一个选择“仍然运行”。

【讨论】：

【参考方案5】：

在最新的 OSX 版本中，Apple 已将其安全模型更改为仅支持来自 Mac App Store 的应用程序和已确定的开发人员。在大多数情况下，这会阻止 jnlp/java-web-start 应用程序启动。

如果这是受信任的应用程序，您可以通过如下更新系统设置来覆盖这些设置：

系统偏好设置 -> 安全和隐私 ->（解锁窗口）-> 允许从以下位置下载应用程序：（选择任意位置）

在某些情况下，您可能还需要更新 Java 安全首选项