# Rechte Probleme bei Applets



## robb (20. Nov 2006)

Moin, 

ich habe mir eine Application erstellt, die auf Images von unserem Webserver zugreift.  Jetzt habe ich das Programm zu einem Applet umgeschrieben und habe keine Erlaubnis auf die Images zuzugreifen. 



> Exception in thread "AWT-EventQueue-1" java.security.AccessControlException: access denied (java.io.FilePermission W:\basic_layout\images\infobank\telefone\nokia\7710\7710.gif read)



Ich habe schon etwas länger nach einer Lösung für dieses Problem gesucht nur leider habe ich noch nichts gefunden was mir wirklich weiterhelfen konnte. Die gesamten Klassen für das Programm sind signiert, aber ich denke es wird sich eher um die Sicherheitseinstellungen von dem Applet handeln.

Ich hoffe es kann mir jemand weiterhelfen.

mfg Robb


----------



## Wildcard (20. Nov 2006)

> W:\basic_layout\images\infobank\telefone\nokia\7710\7710.gif


Ein Applet läuft auf dem Client. Wie willst du denn vom Client aus auf ein Laufwerk W des Webservers zugreifen?


----------



## robb (20. Nov 2006)

Das Applet soll später mal auf dem Webserver liegen und dort auch aufgerufen werden. Gibts da keine Möglichkeit, dass ich auf die Images zugreifen kann?


----------



## AlArenal (20. Nov 2006)

Das Applet soll auf dem Webserver aufgerufen werden?? Wasn das fürn seltsamer Webserver, wo noch ein User dran sitzt und Applets aufruft?


----------



## Wildcard (20. Nov 2006)

Ich versteh den Sinn dahinter zwar nicht, aber falls das Applet wie du sagst signiert wäre, und du die erforderlichen Rechte auf dem Laufwerk hättest, würde auch keine AccessControlException fliegen.


----------



## robb (20. Nov 2006)

@AlArenal: Vielleicht verplane ich gerade irgendwas grundsätzliches oder ich habe mich falsch ausgedrückt, aber auf dem Webserver liegt auch die Websitestruktur wo interne Mitarbeiter Infos erhalten. Und hier möchte ich das Applet verlinken...

@Wildcard: Also ich kann auf dem Laufwerk alles sehen editieren und löschen was ich möchte. Und das Signieren des Applets musste ich in sofern machen, da ich noch auf eine SQL Datenbank zugreife, in der ich unter anderem auch den Pfand eines bestimmten Images speichere. Deswegen habe ich alle Klassen, die mein Applet verwendet signieren lassen.


----------



## Wildcard (20. Nov 2006)

Klassen signiert man nicht, man signiert jars.
Und was ist laut deiner Policy gestattet?


----------



## robb (20. Nov 2006)

Ja, sorry die Klassen wurden natürlich erst in ein jar archiv gepackt und dann signiert.
Blöde Frage: Wie kann ich feststellen was laut meiner Policy erlaubt ist?


----------



## Wildcard (20. Nov 2006)

Das hier scheint brauchbar zu sein:
http://gd.tuwien.ac.at/languages/java/GoToJava2/html/k100293.html


----------



## robb (20. Nov 2006)

Genau nach der Erklärung habe ich mein Applet vorher signiert.


----------



## Wildcard (20. Nov 2006)

*lach*
Dann müsstest du ja auch beantworten können welche Rechte du deinem Applet eingeräumt hast.


----------



## robb (20. Nov 2006)

genau hier bin ich am stocken...
Ich möchte ja nur die FilePermission erhalten für das Applet. Deswegen brauch ich auch nicht mehr schreiben als:



```
grant SignedBy "gj22" {
  permission java.io.FilePermission "W:\\basic_layout\\images\\infobank\\telefone\\*", "read,write";

};
```

Ich habe die java.policy momentan allerdings noch in meinem lokalen user verzeichnis stehen, anstatt unter c:\windows\, da auch dort meine .keystore datei ist. Ich hab keine Ahnung ob ich das nu verschieben soll oder ob es so richtig ist und mein Fehler wo anders liegt.


----------



## Yzebär (20. Nov 2006)

Ich wurde an deiner Stelle die Architektur deiner Anwendung überdenken. Daß ein Applet übers Netzwerk auf eine Datenbank oder das Filesystem eines Webservers zugreift halte ich nicht für besonders clever oder sicher. Ich würde an deiner Stelle auf Webservices umsteigen oder auf dem Webserver einen RMI-Server betreiben, der die gewünschten Dienste zur Verfügung stellt (zB schick mir das Bild soundso übers Netzwerk) und Zugriff auf das lokale Filesystem und die Datenbank hat. Falls du an so einer Lösung interessiert bist, kann ich dir Näheres dazu erläutern.


----------



## robb (20. Nov 2006)

Jo würde mich schon interessieren. Ich habe in der Uni nur mit Applets und Applications gearbeitet und habe deswegen keine Erfahrungen mit Alternativen. Wichtig wäre mir nur, dass ich es auf einer html Seite einbinden kann. 

ps. Die Datenbankabfragen funktionieren wunderbar, so wie es im Moment implementiert ist.


----------



## Yzebär (21. Nov 2006)

Im Moment sieht es doch so aus, daß dein Applet direkt auf Ressourcen zugreift (Datenbank, Filesystem). Das lokale Filesystem und Datenbanken sollten aber im WAN(Wide Area Network) tabu sein.  Die Tür, die du deinem Applet eröffnest, steht nämlich auch allen anderen zur Verfügung. 

Deswegen die Idee mit dem RMI-Server. RMI (Remote Method Invocation) bedeutet ganz grob gesagt, daß du Methoden eines auf einem RMI-Server gehosteten Objekts aufrufen kannst. Das besondere daran ist, daß die Methoden auf dem Server ausgeführt werden und die Rückgabewerte an den Client übertragen werden (sofern die Rückgabeobjekte serialisierbar sind). 

Kleines Beispiel. Du willst irgendein Bild in deinem Applet anzeigen, das aber im Filesystem deines Servers liegt, der Pfad zu dem Bild liegt in deiner Datenbankl. Dann entwickelst du einfach ein Remoteobjekt mit zwei Methoden, eine Methode liefert dir eine Liste der verfügbaren Bilder und eine andere liefert ein Bild(Parameter Bildname). Du schreibst einen RMI-Server, der nur eine Java-Applikation ist, in dem das Remote-Objekt erzeugt und veröffentlicht wird, so daß es im Netzwerk erreichbar ist. Das Applet verbindet sich mit dem Remote-Objekt und ruft die Methoden auf und zeigt am Ende das gewünschte Bild an.

Was hast du erreicht? Der RMI-Server(Java-Applikation) greift auf das lokale Filesystem und die Datenbank zu und veröffentlicht Methoden, um Daten oder Werte aus den beiden Ressourcen zu empfangen. Beide Ressourcen bleiben ansonsten im Netzwerk unsichtbar und bieten keine Angriffsfläche für böswillige Zeitgenossen. Das Applet braucht nur die Berechtigung sich mit dem RMI-Server verbinden zu dürfen und ansonsten keine zusätzlichen Berechtigungen. Du kannst jedes serialisierbare Objekt im Netzwerk übertragen (RMI verwendet dazu ein eigenes Protokoll) und Programmlogik aus deinem Applet auf den RMI-Server auslagern, d.h. du könntest Funktionalität ändern, ohne ein neues Applet veröffentlichen zu müssen.

Im Netz gibt es viele Tutorials zu einfachen RMI-Server-Client-Anwendungen, die Technologie ist eigentlich ziemlich komfortabel (komplett Java mit eigenem Übertragungsprotokoll) anzuwenden, komischerweise aber wenig verbreitet.


----------



## L-ectron-X (22. Nov 2006)

:toll: schön geschrieben.


----------



## robb (22. Nov 2006)

Hört sich sehr gut an. Nur was ich daran ein wenig komisch finde ist, dass das Applet später auch auf dem selben Server liegen wird. Und es wird auch nur im lokalen Netzwerk zugänglich sein. Von aussen wird dieses Applet nicht angesprochen werden können.


----------

