# Wie mache ich meine HP vertrauenswürdig ?



## Kanitrino (16. Feb 2014)

Hallo allerseits,

Ich habe nach einiger Zeit meine eigene Homepage ( Die virtuelle Gesellschaft ) aufgerufen. Auf dieser stehen einige Applets. Wenn ich nun eines davon aufrufen will, erschient ein Fenster "Anwendung durch Sicherheitseinstellungen blockiert.. [Dateiname] ... Ihre Sicherheitseinstellungen haben die Ausführung einer nicht vertrauenswürdigen Anwendung blockiert."

Vermutlich sind die Applets auf meiner HP also für alle Benutzer blockiert.

Kann mir vielleicht jemand bitte mit einfachen Worten erklären, was ich tun muss, um die Applets vertrauenswürdig zu machen ?


----------



## Tobse (16. Feb 2014)

Du musst die dateien digital signieren. Und das mit einem Schlüssel, der bekannt ist.

Aber mal generell: Die Homepage ist auf Stand Web 1.0. Der würde ich nichtmal meine E-Mail Addresse anvertrauen, geschweigedenn Code davon ausführen.


----------



## Kanitrino (16. Feb 2014)

Tobse hat gesagt.:


> Du musst die dateien digital signieren.


Danke. Ich suche also im Web unter "digital signieren".


> Und das mit einem Schlüssel, der bekannt ist.


Wem soll er bekannt sein ? Wie mache ich dem Schlüssel ihm/mir bekannt ?


> Die Homepage ist auf Stand Web 1.0. Der würde ich nichtmal meine E-Mail Addresse anvertrauen, geschweigedenn Code davon ausführen.


Danke. Ist das ein Java- oder ein HTML-Standard ? Welcher Standard sollte es stattdessen sein ?
Muss ich alles umprogrammieren ?


----------



## Tobse (16. Feb 2014)

Kanitrino hat gesagt.:


> Wem soll er bekannt sein ? Wie mache ich dem Schlüssel ihm/mir bekannt ?


Der öffentlichkeit. Es geht dabei drum, dass die Datei, die man da herunterlädt mit garantie von einer Identifizierbaren Quelle kommt, also das selbe wie bei SSL. So ein Zertifikat musst du kaufen, das ist nicht direkt billig.



Kanitrino hat gesagt.:


> Danke. Ist das ein Java- oder ein HTML-Standard ? Welcher Standard sollte es stattdessen sein ?
> Muss ich alles umprogrammieren ?


Das ist kein Standard sondern eher eine zeitliche Einteilung in "Äras" unter den Gesichtspunkten Aussehen, Aufmachung und Funktionsumfang von Webseiten.
Deine Seite ist etwa Web 1.0, Facebook, Google+ etc. sind inzwischen Web 3.0.


----------



## Kanitrino (16. Feb 2014)

Hallo Tobse,
Vielen dank für die Hilfe. Ich habe über meinen Serveranbieter ein SSL-Zertifikat von GeoTrust für meine Website bestellt.

Das mit dem Web 1.0 geht mir auf den Keks. Jeder kritisiert das Layout, aber mit den üblichen Büchern habe ich nicht anderes zu Stande gekriegt. Offenbar betrifft das aber nur den visuellen Eindruck des Besuchers, und den kann ich souverän ignorieren.


----------



## Tobse (16. Feb 2014)

Kanitrino hat gesagt.:


> Hallo Tobse,
> Vielen dank für die Hilfe. Ich habe über meinen Serveranbieter ein SSL-Zertifikat von GeoTrust für meine Website bestellt.


Das war nicht der Sinn der Sache. Ich sagte


			
				Tobse hat gesagt.:
			
		

> also *das selbe* wie bei SSL


Sorry, wenn das missverständlich war.



Kanitrino hat gesagt.:


> Das mit dem Web 1.0 geht mir auf den Keks. Jeder kritisiert das Layout, aber mit den üblichen Büchern habe ich nicht anderes zu Stande gekriegt. Offenbar betrifft das aber nur den visuellen Eindruck des Besuchers, und den kann ich souverän ignorieren.


Wie gesagt, die Webseite macht schon visuell keinen vertrauenswürdigen Eindruck. Wenn die Leute, die deine Webseite besuchen sowieso wissen, was sie dort finden und dass es keine Gefahr darstellt brauchst du auch kein Zertifikat für deine Software.


----------



## Kanitrino (16. Feb 2014)

Tobse hat gesagt.:


> Das war nicht der Sinn der Sache.


Ja, was muss ich denn jetzt machen ? Ich will doch nur, dass die Seite zugänglich ist und nicht das Fenster


> Anwendung durch Sicherheitseinstellungen blockiert


erscheint.

Ich wäre Dir sehr verbunden, wenn Du mir zunächst auf *diese* Frage antworten könntest.

Ich werde also versuchen (geht vermutlich nicht so einfach), SSL abzubestellen, denn


> So ein Zertifikat musst du kaufen, das ist nicht direkt billig


----------



## Tobse (17. Feb 2014)

Kanitrino hat gesagt.:


> Ich wäre Dir sehr verbunden, wenn Du mir zunächst auf *diese* Frage antworten könntest.



Darauf kann ich dir leider keine Antwort geben, weil ich selbst nicht weiss wie das mit den Zertifikaten bei der Software-Signierung geregelt ist. Einfach mal googeln, wie du schon gesagt hast "software digital signieren"


----------



## Kanitrino (23. Feb 2014)

Hilfe,

Könnte mir bitte irgend jemand mit einem Satz sagen, was ich machen soll ? Ich habe nur eine armselige Homepage mit ein paar Java-Applets und möchte nur erreichen, dass sie auch weiterhin aufgerufen werden kann. Bitte hebt Euch jegliche allgemeinphilosophische Weisheite für Euren nächsten Frisörbesuch auf und schreibt nur einen allgemeinverständlichen Satz.


----------



## Sen-Mithrarin (28. Feb 2014)

bleib erstmal aufm teppich

dafür das du die sache mit dem SSL-zertifikat missverstanden hast kann Tobse erstmal gar nichts ... denn DU hättest dich ja vorher darüber informieren können wo der unterschied zwischen einem "website-ssl-certificate" und einem "code-signing-certificate" liegt ... außerdem ist letzteres bei weitem teurer *bei vielen anbietern gehts erst ab um die 100$-150$ pro jahr los ... ssl-schlüssel bekommt man schon für 5$-10$* ...


und da du scheinbar selbst nicht in der lage dazu bist dir die nötigen informationen selbst ranzuschaffen mal kurz und knapp erklärt


oracle hat mit Java7 Update51 neue sicherheitsrichtlinien für Applets und WebStart angebracht ... die mal wieder ein ganzes stück härter sind als die vorherigen ... ist übrigens bisher immer so gewesen wenn die richtlinien verschärft wurden

die neueste idee die man sich nun im hause oracle hat einfallen lassen ist das Applets mitlerweile grundlegend immer signiert sein müssen und das Manifest über ein sog. "permissions"-tag verfügen muss (weiteres dazu in der DOC)

die signierung selbst kann natürlich weiterhin mit einem self-signed-certificate erfolgen wie man es bisher auch gemacht hat wenn man native-access brauchte ... dann wird es aber glaub ich immer noch blockiert ... oder zumindest ne heftige warnung angezeigt ... oder man kauft sich für teures geld n code-zertifikat und bekommt dann lediglich den "sicherheitshinweis" der fragt ob die signierte anwendung ausgeführt werden soll


für kleine privat-entwickler wie dich lohnt sich dies meist nicht ...



ich persönlich finde diesen schritt für absolut falsch
denn bisher konnte man zumindest soweit sicher gehen das ein nicht-signiertes applet nicht aus der sandbox kommt ...
da aber jetzt alles signiert werden muss ... und signierte applets aus der sandbox rausdürfen sind dabei selbst "harmlose" applets ein potenzielles sicherheitsrisiko und ein beliebtes ziel für angriefer und hacker


daher mein rat : alleine weil applets auf grund ihrer sicherheitslücken eh verpönt sind, mit der neuen regelung oracle sich eigentlich selbst ins knie schießt, und es für dich als privaten hobby-bastler schlicht zu teuer ist ein zertifikat zu kaufen ... lass es einfach
wie Tobse schon sagte : die user die sich auf deine seite verirren werden schon wissen was sie dort finden ... und können dann gerne in ihren listen deine seite als ausnahme hinzufügen und somit deinen code trotzdem ausführen ... alle anderen werden auf grund es hohen sicherheitsrisikos spätestens bei der frage : "ausführen ja/nein" auf NEIN klicken ... und dann wars zertifikat auch wieder für umsonst


----------



## Kanitrino (19. Jun 2016)

So, nun habe ich zwei Jahre lang gewartet und will nun einen neuen Versuch unternehmen, endlich meine HP wieder ans Laufen zu kriegen. Vielleicht gelingt es mir ja, sachdienliche Hinweise zu bekommen, indem ich, Schritt für Schritt, nur konkret das frage, was gerade nicht klappt.

Also : Ich habe die neueste Java-Version heruntergeladen, SDK und JDK (brauche ich eigentlich beides ?). Dann habe ich in der Systemsteuerung den classpah gesetzt : c:\Program Files\Java\jdk1.8.0_92\bin.

Nun muss ich einen Schlüssel erzeugen. Ich rufe MS-DOS auf und gebe ein :
C:>keytool -genkey -alias KlausW
Ich bekomme die Antwort : Der Befehl "keytool ist entweder falsch geschrieben oder konnte nicht gefunden werden.

Was habe ich falsch gemacht ?


----------



## InfectedBytes (19. Jun 2016)

Kanitrino hat gesagt.:


> Also : Ich habe die neueste Java-Version heruntergeladen, SDK und JDK (brauche ich eigentlich beides ?). Dann habe ich in der Systemsteuerung den classpah gesetzt : c:\Program Files\Java\jdk1.8.0_92\bin.
> 
> Nun muss ich einen Schlüssel erzeugen. Ich rufe MS-DOS auf und gebe ein :
> C:>keytool -genkey -alias KlausW
> ...


Damit das Keytool gefunden wird musst du die path variable setzen und nicht die classpath variable.

p.s.
Du hast MS-DOS aufgerufen? Wohl kaum, die letzten Windows Versionen die noch Abhängigkeiten zu MS-DOS hatten war Windows 95/98 und ME. Bist als gute 16 bis 20 Jahre zuspät. 
Ich vermute mal du meinst einfach nur die Konsole.


----------



## Tobse (19. Jun 2016)

Kanitrino hat gesagt.:


> Ich habe die neueste Java-Version heruntergeladen, SDK und JDK (brauche ich eigentlich beides ?)


AFAICT ist das keytool in beiden drin, das signieren sollte also auch mit der JRE klappen. Das JDK kann aber für einen Programmierer nie Schaden, nimmt ja für heutige Dimensionen auch nicht viel Platz weg.



Kanitrino hat gesagt.:


> Dann habe ich in der Systemsteuerung den classpah gesetzt : c:\Program Files\Java\jdk1.8.0_92\bin


1. _c:\Program Files\Java\jdk1.8.0_92\bin_ gehört nicht in den Classpath
2. Der Classpath hat mit deinem Problem nix zu tun
3. _c:\Program Files\Java\jdk1.8.0_92\bin_ muss in die PATH Umgebungsvariable.

Wenn du 3. getan hast, bleibt dir nur ein Reboot. Wenn du 3. nicht getan hast (sondern irgendwas anderes), dann mach 3.


----------



## InfectedBytes (19. Jun 2016)

Und auch wenn du es vermutlich nicht hören willst. Wenn deine Seite Java Applets benutzt, fallen effektiv schonmal ein drittel der Potentiellen Nutzer weg, da diese Chrome als Browser nutzen und Chrome NPAPI (und somit auch Java Applets) schon lange aus dem Browser verbannt hat, da NPAPI ein altes, sicherheitsproblematisches Relikt der Vergangenheit ist. Dank html5 und co ist es im Grunde sowieso nicht mehr nötig überhaupt Java Applets zu nutzen.

Daher solltest du dir selbst einen Gefallen tun und versuchen von den Applets wegzukommen.


----------



## Kanitrino (19. Jun 2016)

InfectedBytes hat gesagt.:


> Du hast MS-DOS aufgerufen? Wohl kaum, ...
> Ich vermute mal du meinst einfach nur die Konsole.


 Ich meinte dieses hässliche schwarze Fenster.


Tobse hat gesagt.:


> Wenn du 3. nicht getan hast (sondern irgendwas anderes), dann mach 3.


 Ich habe jetzt 3. getan, und ... es funktioniert !!

... das heißt : Es wird jetzt erwähnt, dass selbstsignierte (immerhin sind sie es jetzt !) Applets ebenfalls aus Sicherheitsgründen nicht gezeigt werden.

Das ganze ist ziemlich blöd. Ich kann doch von den Leuten nicht verlangen, wegen meiner HP ihre Sicherheitsvorrichtungen abzuschalten.



InfectedBytes hat gesagt.:


> .... Daher solltest du dir selbst einen Gefallen tun und versuchen von den Applets wegzukommen.



Ja aber was gibt es als Alternative ? Die Applets sind auf meiner HP keine Dekoration, sondern es ist der ZWECK der HP, interaktive Computersimulationen zu zeigen (um die Welt zu erklären). Ich hatte mich für Java als Programmiersprache entschieden, da sie (vor langer, langer Zeit) genau für diesen Zweck geschaffen worden ist.

Was bleibt mir übrig ?
Muss ich in den sauren Apfel der bezahlten Zertifikate beißen ? 
Kann man Java- (oder C- ?) Applikationen schreiben, die dann runtergeladen werden können ? 
Oder soll ich es einfach aufgeben, die Welt zu erklären ?


----------



## InfectedBytes (19. Jun 2016)

Der quasi Standard für sowas ist html5 + JavaScript. Falls du dennoch lieber mit Java arbeiten willst, könntest du dir z.B. Googles  Web Toolkit (GWT) anschauen. Dies ist dazu gedacht Java nach JavaScript zu kompilieren.


----------



## Flown (19. Jun 2016)

Du könntest auch JNLP verwenden.


----------



## Tobse (19. Jun 2016)

InfectedBytes hat gesagt.:


> Falls du dennoch lieber mit Java arbeiten willst, könntest du dir z.B. Googles  Web Toolkit (GWT) anschauen. Dies ist dazu gedacht Java nach JavaScript zu kompilieren.


+1

----
Du könntest die Simulationen auch als Download anbieten. Mit einem JSmooth oder JLauncher drumrum und das ganze sieht auch nicht schlecht aus. Klar, die Usability ist nicht so schön, aber du musst deinen Code nur minimal ändern.


----------



## Kanitrino (19. Jun 2016)

Vielen Dank für die Beschreibung der Alternativen, ich werde sie mir mal genau angucken.

Irgendwie komme ich mir vor wie ein Hobbykoch, der den größten Teil seiner Energie darauf verwenden muss, immer wieder den e-Herd zu reparieren. Am Schluss könnte er ein Diplom in Elektrotechnik machen, aber er hat noch keinen einzigen Pfannekuchen zu Stande gebracht ...


----------



## Kanitrino (23. Jun 2016)

Also, ich habe JLaucher runtergeladen, habe aber damit nichts zustande gebracht, weil kaum Information gegeben wurde.

Ich habe dann einen Java Launcher 3.201 runtergeladen, aber es gab offenbar - einmal wieder - Probleme mit dem Pfad : Wenn ich das programm starten will, erscheint die Fehlermeldung : You did not install Java development kit (JDK), or it may become corrupted, please install or re-install JDK. Do you want to view your Java installation now ?
-> yes -> dann werden zwei Kästchen gezeigt :
JRE - Java Runtime Environment
Path
can not find installation info in System register about JRE.
(und dann dasselbe nochmal über JDK)

Ich habe schon mehrmals den Launcher und Java wieder gelöscht, mit Microsoft regClean ausgemistet, dann wieder runtergeladn usw.

Das einzige, was sich geändert hat, war, dass mal das Register Programme(x86) genannt wurde, obwohl es in Program Files gespeichert ist. Ich habe dann den Launcher in Programme (x86) gelöscht und neu in Program Files runtergeladen, mit dem Erfolg, dass er garnichts mehr findet.

In meiner Umgebungsvariablen "Path" steht Java JDK und JRE mit dem richtigen Speicherort Program Files.

Hat jemand eine Idee ?


----------



## AndyJ (28. Jun 2016)

Oracle hat die Applets ja mittlerweile ganz aufgegeben (siehe Link unten). Mit deinem Hintergrundwissen wirst du auch mit Java Web Start vermutlich nicht gluecklich. Eine Alternative waere, die Applets einfach in Desktop-Applikationen umzubauen und einfach die jar-Files zum Download anzubieten. JSmooth und JLauncher erzeugen ja nur Windows Artefakte, Linux und Mac user gehen dann leer aus. Alles neu bauen wuerde ich persoenlich auch nicht...

https://blogs.oracle.com/java-platform-group/entry/moving_to_a_plugin_free


----------



## Kanitrino (6. Jul 2016)

Hallo Andy,
Ich hatte mich gerade entschieden, mich als Alternative zu den Applets in Java Web Start einzuarbeiten.
Sollte das nun etwa auch nichts sein ?

Den Link 





> alternative options such as migrating from Java Applets (which rely on a browser plugin) to the plugin-free Java Web Start technology.


 verstehe ich eigentlich eher anders.

Allmählich schwindet meine Motivation, überhaupt noch zu programmieren ...

Kann mir nicht jemand irgendeinen zukunftsträchtigen Rat geben ?

[Meine Website mit den (nunmehr wirkungsloserweise selbst-signierten) Applets ist übrigens www.kanitrino.de ]


----------



## AndyJ (7. Jul 2016)

Java Web Start ist eine grossartige Technologie und ich wuerde mir wuenschen, dass Oracle da mehr Wert drauf legt und das weiterentwickelt und entsprechened promoted. Die Nachteile sind eher nicht-technischer Natur. Die wenigsten wissen mit JWS was anzufangen; wer weiss denn schon was ein .jnlp File ist? Die Browserhersteller haben ja alles entfernt, was mit Java auch nur im Entferntesten zu tun hat, nicht nur das Applet Plug-in sondern auch die Voreinstellung jnlp Files mit JWS zu oeffnen.
Der JWS start-up ist auch ziemlich erschreckend - zahlreiche Popups die den Nutzer vor gefaehrlicher Software warnen. Die Masse erreicht man damit sicher nicht, JWS ist eher geeignet fuer eine eingrenzbare Zielgruppe, z.B. grosse Firmen.
Ich habe eine JWS Anwendung hier: http://www.peemail.org/ Propbier's einfach mal aus, dann siehst du was ich meine. Im Moment schreibe ich das Programm um; SWT als UI-Technologie und einen Installer fuer die verschiedenen Betriebssyteme. Witzigerweise haben viele Leute keine Hemmungen ein Programm runterzuladen und zu installieren, wagen es aber nicht auf einen Button zu klicken und ein JWS Programm zu starten. Sicherheitstechnisch ist JWS viel besser fuer den Nutzer, die Anwendung laeuft in einer Sandbox und kann kaum Schaden anrichten, als runtergeladenes und installiertes Programm jedoch ist alles moeglich weil alle Securityeinrichtungen abgeschaltet sind.
JWS ist uebrigens auch nur Teil von Oracle Java, Linux User haben aber meistens das OpenJDK installiert. Die muessen JWS extra installieren. 

Cheers,
Andy


----------

