Wtedy witrynę oferującą niepodpisany cyfrowo aplet należy dodać do "Exception Site list". Można to zrobić wybierając Panel sterowania, opcję Security, kliknąć przycisk "Edit site list...", a następnie przycisk "Add". Przed nazwą witryny trzeba oczywiście wpisać znaki HTTP(S)://. Jeśli korzystamy np. zarówno z nazwy "something.com", jak i www.something.com, obie nazwy powinny być umieszczone na białej liście.

Nawet po umieszczeniu nazwy witryny na białej liście, próba uruchomienia niepodpisanego cyfrowo apletu powoduje pojawienie się pytania widocznego na poniższej ilustracji (zarówno w przypadku Javy 7, jak i Javy 8).

Zobacz również:

• Wszystkie problemy macOS 14.4 - lepiej nie aktualizować Maców
• Najnowsza baza danych Oracle została wzbogacona o kolejne funkcje AI

Ale to nie wszystko odnośnie tego tematu, gdyż przeglądarki mogą wtedy też generować różnego rodzaju ostrzeżenia. Jakie to będą ostrzeżenia, zależy od przeglądarki. Na przykład Opera v12.17 totalnie ignoruje Javę (zarówno na komputerach Windows 7, jak i 8.1), nie wyświetlając wtedy żadnego ostrzeżenia czy komunikatu.

Poziom „very high” nie jest wcale taki „high”

Po wybraniu poziomu bezpieczeństwa "very high", system nie powinien uruchomić żadnego niepodpisanego apletu. Tak przynajmniej twierdzi Oracle informując, że w przypadku Javy 8 powinien się wtedy pojawić komunikat "Only Java applications identified by a certificate from a trusted authority are allowed to run, and only if the certificate can be verified as not revoked".

Okazuje się, że nie jest to zawsze prawda. Przeprowadzone testy pokazały np., że na komputerze pracującym pod kontrolą systemu Windows 7, na którym instalowano różne wersje Javy (7 albo 8) oraz różne przeglądarki (Firefox 33 i Chrome), można uruchomić niepodpisane cyfrowo aplety.

Czas minął

W grudniu 2012 roku Oracle zaprezentował rozwiązanie regulujące kwestię wygaszania licencji na używanie środowisk uruchomieniowych dla programów napisanych w języku Java (JRE i JVM). Firma przyjęła zasadę, że każdej wersji oprogramowania, począwszy od wersji Java 7 Update 10, towarzyszyć będzie data wygaszenia. A właściwie dwie daty.

Pierwszy czas wygaszenia ma trwać trzy miesiące od momentu udostępnienia nowej wersji oprogramowania. Jednak w przypadku komputerów, które nie mogą skontaktować się z serwerem Oracle, czas ten jest wydłużany do czterech miesięcy.

Oracle wyjaśnia, że JRE kontaktuje się w określonych odstępach czasu z serwerem Oracle celem sprawdzenia, czy używane oprogramowanie jest aktualne i spełnia określone wymogi bezpieczeństwa. W przeszłości było tak, że w sytuacjach, w których komputer nie mógł się skontaktować z serwerem, Java funkcjonowała dalej przez nieokreślony okres czasu na starych zasadach, zachowując się tak, jakby spełniała dalej wszystkie wymogi bezpieczeństwa.

Aby zapobiec tego rodzaju sytuacjom, Oracle zaszywa na stałe w oprogramowaniu JRE tzw. „hard-coded expiration date”. Wtedy JRE (po upływie czterech miesięcy, podczas których nie mógł się skontaktować z serwerem Oracle) zaczyna oferować użytkownikowi możliwość włączenia dodatkowych mechanizmów bezpieczeństwa, przestając się jednocześnie zachowywać tak, jakby spełniał dalej wszystkie wymogi bezpieczeństwa. Pojawia się wtedy kolejne ostrzeżenie w rodzaju "additional protection".

Przykład. Czas wygaszania dla oprogramowania Java 7 Update 60 został ustalony na 15-go lipca 2014 (wtedy, gdy komputer może nawiązać kontakt z serwerem Oracle) i na 15-go sierpnia 2014 roku (wtedy, gdy komputer takiego kontaktu nie może nawiązać). W takim przypadku użytkownik może po 15-tym sierpnia 2014 roku dalej uruchamiać na komputerze Windows, z zainstalowanym oprogramowaniem Java Update 60, niepodpisane cyfrowo aplety Java (przy wybranym poziomie bezpieczeństwa "high").

Jak widać na ilustracji, system wygenerował ostrzeżenie, iż Java jest "out of date", ale pozwalał uruchamiać aplety.