# SecurityException trotz signierten JAR?



## Templarthelast (27. Jun 2012)

Ich habe ein Java Applet, das eine Verbindung zu einem Server aufbaut. Dafür hab ich das entsprechende Jar auch signiert. Trotzdem erscheint dieser Fehler beim Versuch das Teil zu laden.  


```
java.lang.SecurityException: trusted loader attempted to load sandboxed resource from http://localhost:8080/LolVoiceChat/faces/
	at com.sun.deploy.security.CPCallbackHandler$ParentCallback.check(CPCallbackHandler.java:311)
	at com.sun.deploy.security.CPCallbackHandler$ParentCallback.access$1500(CPCallbackHandler.java:123)
	at com.sun.deploy.security.CPCallbackHandler$ChildElement.checkResource(CPCallbackHandler.java:480)
	at sun.plugin2.applet.Plugin2ClassLoader.checkResource(Plugin2ClassLoader.java:859)
	at sun.plugin2.applet.Applet2ClassLoader.findClass(Applet2ClassLoader.java:245)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass0(Plugin2ClassLoader.java:249)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Plugin2ClassLoader.java:179)
	at sun.plugin2.applet.Plugin2ClassLoader.loadClass(Plugin2ClassLoader.java:160)
	at java.lang.ClassLoader.loadClass(ClassLoader.java:247)
	at sun.plugin2.applet.Plugin2ClassLoader.loadCode(Plugin2ClassLoader.java:678)
	at sun.plugin2.applet.Plugin2Manager.createApplet(Plugin2Manager.java:3024)
	at sun.plugin2.applet.Plugin2Manager$AppletExecutionRunnable.run(Plugin2Manager.java:1497)
	at java.lang.Thread.run(Thread.java:662)
Exception: java.lang.SecurityException: trusted loader attempted to load sandboxed resource from http://localhost:8080/LolVoiceChat/faces/
```


----------



## Spacerat (27. Jun 2012)

Hmm... sind wirklich alle vom jar verwendeten Klassen signiert? Evtl. genau jene, die diesen Thread dort erweitert nämlich anscheinend nicht. Soweit ich das nachvollziehen kann, handelt es sich dabei um ein anonymes Runnable.


----------



## Templarthelast (27. Jun 2012)

Aus verwende nur die Javastandartpackete, aber ich hab es jetzt erstmal zum laufen bekommen, indem ich es nocheinmal ordendlich gesignt habe. 

Dann habe ich noch 2 Fragen:

1. Wieviel kostet ein "richtiges" Zertifikat? Denn mir selber zu bescheinigen, dass meine Anwendung sicher sei, ist relativ witzlos. 

2. Ich spiele gerade mit einem VoIP Applet rum. Allerdings bei Firefox und Chrom, kann ich weder Sound aus- oder eingeben. Im eclipse appletviewer, funktioniert es dagegen tadellos.


----------



## Spacerat (27. Jun 2012)

Preise kannst du hier erfragen: TC TrustCenter - TC TrustCenter - Digitale Zertifikate und PKI-Sicherheitslösungen für Ihr eBusiness und Managed Service Lösungen.

So ein Zertifikat ist aber auch eine Vertrauenssache. Damit versicherst du anderen, dass du deine SW für sicher hälst. Dafür immer gleich in ein teures Zertifikat investieren macht auch nicht unbedingt immer Sinn, sicherer wird sie dadurch auch nicht (siehe dazu diverse Java IRC-Clienten).

Zu 2.
Was geben denn die jeweiligen Konsolen in den entsprechenden Browsern so von sich? Irgendwelche Fehlermeldungen?


----------



## Empire Phoenix (27. Jun 2012)

Der unterscheid zwischen beide ist beim einen kommt ne meldung unbekannter Ca beim anderen vertrauen sie diesem certificat. 
Beide wirken auf einen dau ähnlich einschüchternt.
Es ist deutlich einfacher auf der website darauf hinzuweisen dass das programm folgendes certificat (meldung zeigen) haben sollte und das ok ist^^.


----------



## Templarthelast (28. Jun 2012)

Spacerat hat gesagt.:


> Zu 2.
> Was geben denn die jeweiligen Konsolen in den entsprechenden Browsern so von sich? Irgendwelche Fehlermeldungen?



Es erscheint kein Fehler und die Verbindung zum Server funktioniert auch. Wie komme ich dann im browser auf die Javakonsole?


----------



## faetzminator (28. Jun 2012)

Ich hab meine Zertifikate mit Welcome to CAcert.org signieren lassen - for free.


----------



## Spacerat (28. Jun 2012)

Templarthelast hat gesagt.:


> Wie komme ich dann im browser auf die Javakonsole?


Joa... da fragst du was...  Eigentlich sollten dafür Menüeinträge existieren. Aber irgendwie finde ich den zumindest bei Firefox nicht mehr. Ich habe die Konsole selber aber auch schon länger nicht benötigt.


----------



## Templarthelast (28. Jun 2012)

Ich hab es mehr oder weniger geschafft die Konsole zu öffnen und bekomme dann ein 
	
	
	
	





```
Error: CommonSoundClass readbyte interrupted
```

Woran kann das liegen, sodass es nur bei Browsern und nicht in eclipse auftritt?


----------



## Spacerat (29. Jun 2012)

Tja, ich kenne den Multichat nicht, aber aus irgend einem Grund fliegt da eine InterruptedException.
/trunk/TechSupportWeb/Multi_UserChat/MultiChat/src/org/multichat/CommonSoundClass.java - SI2011 Tim 9 - ETF Forge
Sehr wahrscheinlich, dass der Thread, der "readBytes" aufruft, wegen einer verschluckten SecurityException unterbrochen wird. Der Eclipse-AppletViewer ist Sicherheitstechnisch nunmal nicht eingeschränkt.
Applet aus Eclipse heraus im Browser-Kontext testen @ tutorials.de: Tutorials, Forum & Hilfe


----------



## Templarthelast (29. Jun 2012)

Danke dann teste ich das mal weiter.


----------



## Templarthelast (30. Jun 2012)

Nach einigem Testen und auch das testen von anderen Java Applets, bin ich zum Schluß gekommen, dass mein Java Plugin nicht funktioniert.


----------

