Fórum Root.cz
Hlavní témata => Software => Téma založeno: Jan Kulhánek 25. 03. 2016, 12:47:22
-
Zdravím všechny,
po nějaké době se potřebuju přihlásit do portálu zdravotní pojišťovny přes kvalifikovaný certifikát. Jejich systém používá Java applet JSigner, nevyužívá úložiště browseru pro certifikáty, ale úložiště Javy.
Nainstaloval jsem si Java 9 a v Java Web Start jsem uložil certifikát.
Při vstupu na portál ZP se začne applet JSigner stahovat, ale nakonec to vyhodí hlášku, že nelze aktualizovat podepisovací applet, chyba může být v nedostatečných právech pro zápis na disk. Pokud spustím Firefox jako root, systém nefunguje vůbec.
Máte prosím někdo řešení?
(http://www.psychoterapie-andel.cz/jsigner-chyba.png)
-
A zkusil ses podívat do toho logu, jak ti píšou?
-
Určitě bych začal tím, že si nainstalujete aktuální produkční verzi Javy, tedy Javu 8 (konkrétně od Oracle Java SE 8u77). Java 9 je teprve ve vývoji, takže bych se vůbec nedivil, pokud s ní nějaká aplikace nebude fungovat.
-
Do logu jsem se díval a přiznám se, že tomu nerozumím. Nainstaloval jsem Java 8 a výsledek je stejný - podepisovací plugin se stahuje a pak vyskočí stejná hláška.
-
Do logu jsem se díval a přiznám se, že tomu nerozumím.
Dneska jsou nějaký skvrny na slunci, asi. Nejdřív jeden s husím krkem a teď tohle.
Co sem třeba obsah toho logu hodit, když tomu sám nerozumíš?
-
Obsah logu PKI/update2.log:
update log created: 26.03.2016 09:50:22
global result: 0
----------------------------------------------------------------
record no. [1/6]
----------------------------------------------------------------
file update result: 5 (rename file)
detail: source=/home/jank2/PKI/tmp/dutils.jar, target=/usr/lib/jvm/java-8-oracle/jre/lib/ext/dutils.jar
detail: java.io.FileNotFoundException: /usr/lib/jvm/java-8-oracle/jre/lib/ext/dutils.jar (Operace zamítnuta)
target alias: t01
info: Utilities Library
dest file: /usr/lib/jvm/java-8-oracle/jre/lib/ext/dutils.jar
target file successfully updated: false
update mode: required
found client source alias: empty
found server source alias: f21
info: 2.0
version: required
file: dutils.jar
archive: dutils.zip
source path: obj
downloaded data size [b]: 86126
download URL: https://portal.vozp.cz/obj/dutils.zip
used temp file: /home/jank2/PKI/tmp/3c5fb980.temp
----------------------------------------------------------------
record no. [2/6]
----------------------------------------------------------------
file update result: 5 (rename file)
detail: source=/home/jank2/PKI/tmp/iaik_jce_full_signed.jar, target=/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaik_jce_full_signed.jar
detail: java.io.FileNotFoundException: /usr/lib/jvm/java-8-oracle/jre/lib/ext/iaik_jce_full_signed.jar (Operace zamítnuta)
target alias: t02
info: Crypto Extensions
dest file: /usr/lib/jvm/java-8-oracle/jre/lib/ext/iaik_jce_full_signed.jar
target file successfully updated: false
update mode: required
found client source alias: empty
found server source alias: f22
info: 2.0
version: required
file: iaik_jce_full_signed.jar
archive: jce.zip
source path: obj
downloaded data size [b]: 636045
download URL: https://portal.vozp.cz/obj/jce.zip
used temp file: /home/jank2/PKI/tmp/47786d57.temp
----------------------------------------------------------------
record no. [3/6]
----------------------------------------------------------------
file update result: 5 (rename file)
detail: source=/home/jank2/PKI/tmp/iaikPkcs11Provider_signed.jar, target=/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Provider_signed.jar
detail: java.io.FileNotFoundException: /usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Provider_signed.jar (Operace zamítnuta)
target alias: t03
info: PKCS#11 Interface
dest file: /usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Provider_signed.jar
target file successfully updated: false
update mode: required
found client source alias: empty
found server source alias: f23
info: 2.0
version: required
file: iaikPkcs11Provider_signed.jar
archive: provider.zip
source path: obj
downloaded data size [b]: 276134
download URL: https://portal.vozp.cz/obj/provider.zip
used temp file: /home/jank2/PKI/tmp/239c4226.temp
----------------------------------------------------------------
record no. [4/6]
----------------------------------------------------------------
file update result: 5 (rename file)
detail: source=/home/jank2/PKI/tmp/iaikPkcs11Wrapper.jar, target=/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Wrapper.jar
detail: java.io.FileNotFoundException: /usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Wrapper.jar (Operace zamítnuta)
target alias: t04
info: Cryptoki Wrapper
dest file: /usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Wrapper.jar
target file successfully updated: false
update mode: required
found client source alias: empty
found server source alias: f24
info: 2.0
version: required
file: iaikPkcs11Wrapper.jar
archive: wrapper.zip
source path: obj
downloaded data size [b]: 229187
download URL: https://portal.vozp.cz/obj/wrapper.zip
used temp file: /home/jank2/PKI/tmp/3fcadd60.temp
----------------------------------------------------------------
record no. [5/6]
----------------------------------------------------------------
file update result: 5 (rename file)
detail: source=/home/jank2/PKI/tmp/local_policy.jar, target=/usr/lib/jvm/java-8-oracle/jre/lib/security/local_policy.jar
detail: java.io.FileNotFoundException: /usr/lib/jvm/java-8-oracle/jre/lib/security/local_policy.jar (Operace zamítnuta)
target alias: t06
info: Java Local Policy
dest file: /usr/lib/jvm/java-8-oracle/jre/lib/security/local_policy.jar
target file successfully updated: false
update mode: required
found client source alias: empty
found server source alias: f26
info: 2.0
version: required
file: local_policy.jar
archive: policy.zip
source path: obj
downloaded data size [b]: 4521
download URL: https://portal.vozp.cz/obj/policy.zip
used temp file: /home/jank2/PKI/tmp/6d72b6a1.temp
----------------------------------------------------------------
record no. [6/6]
----------------------------------------------------------------
file update result: 5 (rename file)
detail: source=/home/jank2/PKI/tmp/US_export_policy.jar, target=/usr/lib/jvm/java-8-oracle/jre/lib/security/US_export_policy.jar
detail: java.io.FileNotFoundException: /usr/lib/jvm/java-8-oracle/jre/lib/security/US_export_policy.jar (Operace zamítnuta)
target alias: t07
info: Java Export Policy
dest file: /usr/lib/jvm/java-8-oracle/jre/lib/security/US_export_policy.jar
target file successfully updated: false
update mode: required
found client source alias: empty
found server source alias: f27
info: 2.0
version: required
file: US_export_policy.jar
archive: policy.zip
source path: obj
downloaded data size [b]: 4521
download URL: https://portal.vozp.cz/obj/policy.zip
used temp file: /home/jank2/PKI/tmp/6d72b6a1.temp
----------------------------------------------------------------
update plan download URL:
https://portal.vozp.cz/obj/pkiupdate.prop
----------------------------------------------------------------
----------------------------------------------------------------
update plan begin
----------------------------------------------------------------
# prepsano pro puvodni verzi property souboru
# version 13.00 - X.2008
###########################################################
# variables
#
# glob�ln� definice
###########################################################
var.sourcePath=obj
var.destPath=[java.home]/lib/ext
var.systemPath={system}
###########################################################
# aliases
#
# seznamy rozezn�van�ch verz� a c�lov�ch soubor�
# aktu�ln� pou�it� aliasy:
# - f - ostatn� komponenty (v�em mimo cesp soubor� viz. seznam komponent autoinstall.txt)
# - CCI - csep11.dll - Chip-Card Interface
# - CCD - csep11p.dll - Chip-Card Driver
# - CCLS - csep11p.sig - Chip-Card Library Signature
# - ULJAR - dutils.jar - Utilities Library
# aktu�ln� pou�it� targety:
# - TCCI - csep11.dll - Chip-Card Interface
# - TCCD - csep11p.dll - Chip-Card Driver
# - TCCLS - csep11p.sig - Chip-Card Library Signature
###########################################################
alias.source=f00;f11;f21;f31;f12;f22;f13;f23;f14;f24;f15;f25;f16;f26;f17;f27;f18;
alias.source=CCI1;CCI2;CCI3;CCI4;
alias.source=CCD1;CCD2;CCD4;
#alias.source=CCLS1;CCLS2;CCLS4;
alias.target=t00;t01;t02;t03;t04;t06;t07;
#alias.target=t05
#alias.target=TCCI;TCCD;TCCLS;
###########################################################
# sources
#
# archive - definuje se jen, pokud je soubor obsa�en v archivu (stahuje se pro v�echny obsa�en� soubory jen jednou)
# crc - kontroln� sou�et verze pro detekci jej� p��tomnosti na u�ivatelov� PC
# desc - dopl�kov� popis, jako vysv�tlivka do logu o pr�b�hu aktualizace
# file - n�zev souboru po nahr�n� a vybalen� z archivu, jeho verze je definov�na
# info - popis verze souboru, spole�n� pro v�echny jazykov� verze, je vkl�d�n do obrazovky pro manu�ln� aktualizaci (!)
# parent - pokyn k napln�n� prom�nn�ch z jin� definice source, napln�n� definice lze nahradit pozd�j��m v�skytem definice stejn� prom�nn�
# path - URL odkud se soubor nahraje (p��padn� archiv, je-li definov�n)
#
# mus� obsahovat definice v�ech vyjmenovan�ch alias�
###########################################################
##### f00 - abstract base #################################
# spole�n� definice pro rozezn�van� verze
#
f00.path=$sourcePath
##### f11 #####
f11.info=1.0
f11.parent=f00
f11.file=dutils.jar
f11.archive=dutils.zip
f11.crc=39B6DB5E
##### f21 #####
f21.info=2.0
f21.parent=f00
f21.file=dutils.jar
f21.archive=dutils.zip
f21.crc=4ADB308C
##### f31 #####
f31.info=1.0
f31.parent=f00
f31.file=dutils.jar
f31.archive=dutils.zip
f31.crc=B31E5BD0
##### f12 #####
f12.info=1.0
f12.parent=f00
f12.file=iaik_jce_full_signed.jar
f12.archive=jce.zip
f12.crc=F1B4C4E1
##### f22 #####
f22.info=2.0
f22.parent=f00
f22.file=iaik_jce_full_signed.jar
f22.archive=jce.zip
f22.crc=8002B5D8
##### f13 #####
f13.info=1.0
f13.parent=f00
f13.file=iaikPkcs11Provider_signed.jar
f13.archive=provider.zip
f13.crc=3207E426
##### f23 #####
f23.info=2.0
f23.parent=f00
f23.file=iaikPkcs11Provider_signed.jar
f23.archive=provider.zip
f23.crc=D9E36C1
##### f14 #####
f14.info=1.0
f14.parent=f00
f14.file=iaikPkcs11Wrapper.jar
f14.archive=wrapper.zip
f14.crc=AEEA57C5
##### f24 #####
f24.info=2.0
f24.parent=f00
f24.file=iaikPkcs11Wrapper.jar
f24.archive=wrapper.zip
f24.crc=7895E11C
##### f15 #####
f15.info=1.0
f15.parent=f00
f15.file=pkcs11wrapper.dll
f15.archive=system.zip
f15.crc=5C4C1316
##### f25 #####
f25.info=2.0
f25.parent=f00
f25.file=pkcs11wrapper.dll
f25.archive=system.zip
f25.crc=FC52AEB1
##### f16 #####
f16.info=1.0
f16.parent=f00
f16.file=local_policy.jar
f16.archive=policy.zip
f16.crc=5FB3657A
##### f26 #####
f26.info=2.0
f26.parent=f00
f26.file=local_policy.jar
f26.archive=policy.zip
f26.crc=D262CC3F;80D4D63D
##### f17 #####
f17.info=1.0
f17.parent=f00
f17.file=US_export_policy.jar
f17.archive=policy.zip
f17.crc=EABD0121
##### f27 #####
f27.info=2.0
f27.parent=f00
f27.file=US_export_policy.jar
f27.archive=policy.zip
f27.crc=A5559C35;518D5EF8
##### f18 #####
f18.info=1.0
f18.parent=f00
f18.file=iaik_javax_crypto.jar
f18.archive=crypto.zip
f18.crc=32338BBF
##### CCI1 ##### nejstar�� produk�n� verze
CCI1.info=2.0.76.712
CCI1.parent=f00
CCI1.file=csep11.dll
CCI1.archive=csep11.zip
CCI1.crc=E7C09638
##### CCI2 ##### aktu�ln� produk�n� verze
CCI2.info=2.0.91.828
CCI2.parent=f00
CCI2.file=csep11.dll
CCI2.archive=csep11.zip
CCI2.crc=6CAAEC2B
##### CCI3 ##### ladic� verze - jen na testech
CCI3.info=2.0.92.833L
CCI3.parent=f00
CCI3.file=csep11.dll
CCI3.archive=csep11.zip
CCI3.crc=650143B7
##### CCI4 ##### Nov� dodan� verze
CCI4.info=2.0.92.833
CCI4.parent=f00
CCI4.file=csep11.dll
CCI4.archive=csep11.zip
CCI4.crc=14E7D7BB
##### CCD1 ##### nejstar�� produk�n� verze
CCD1.info=1.5.119.7195
CCD1.parent=f00
CCD1.file=csep11p.dll
CCD1.archive=csep11.zip
CCD1.crc=6B324DFD
##### CCD2 ##### aktu�ln� produk�n� verze
CCD2.info=1.5.140.8285
CCD2.parent=f00
CCD2.file=csep11p.dll
CCD2.archive=csep11.zip
CCD2.crc=EDD385E1
##### CCD4 ##### nov� dodan� verze
CCD4.info=1.5.143.8363
CCD4.parent=f00
CCD4.file=csep11p.dll
CCD4.archive=csep11.zip
CCD4.crc=B4B6EFF8
##### CCLS1 ##### nejstar�� produk�n� verze
CCLS1.info=2.0.76.712
CCLS1.parent=f00
CCLS1.file=csep11p.sig
CCLS1.archive=csep11.zip
CCLS1.crc=EBC2CB9E
##### CCLS2 ##### aktu�ln� produk�n� verze
CCLS2.info=2.0.91.828
CCLS2.parent=f00
CCLS2.file=csep11p.sig
CCLS2.archive=csep11.zip
CCLS2.crc=32E668CE
##### CCLS4 ##### nov� dodan� verze
CCLS4.info=2.0.92.833
CCLS4.parent=f00
CCLS4.file=csep11p.sig
CCLS4.archive=csep11.zip
CCLS4.crc=8634BAAE
###########################################################
# targets
#
# abstract - ozna�en� definice, kter� nem� b�t zpracov�na p�i detekci aktualizac�
# desc - dopl�kov� popis, jako vysv�tlivka do logu o pr�b�hu aktualizace
# file - n�zev souboru po jeho p�esunu na c�lov� m�sto, mus� souhlasit s n�zvem po instalaci
# info - obchodn� popis souboru, spole�n� pro v�echny jazykov� verze, je vkl�d�n do obrazovky pro manu�ln� aktualizaci (!)
# parent - pokyn k napln�n� prom�nn�ch z jin� definice source, napln�n� definice lze nahradit pozd�j��m v�skytem definice stejn� prom�nn�
# path - c�lov� cesta na lok�ln�m PC, kam m� b�t soubor um�st�n
# version - odkazy na source definice detekovan�ch verz� rozd�len� podle toho, jak ovliv�uj� proces aktualizace
# version.required - verze, jejich� p��tomnost znamen�, �e nen� nutn� automatick� aktualizace, m��e v�ak doj�t k aktualizaci voliteln� nebo manu�ln�
# version.optional - verze, jejich� p��tomnost znamen�, �e nen� nutn� automatick� ani voliteln� aktualizace, m��e doj�t k aktualizaci manu�ln�
# version.manual - verze, jejich� p��tomnost znamen�, �e nen� nutn� automatick� ani voliteln� aktualizace, m��e doj�t k aktualizaci manu�ln�
#
# v�dy se aktualizuje na nejvhodn�j�� verzi takto:
# - p�i automatick� aktualizaci se pou�ije source definice posledn� vyjmenovan� verze optional,
# pokud nen� definov�na verze optional, pak se pou�ije source definice posledn� vyjmenovan� verze required;
# - p�i voliteln� aktualizaci se pou�ije source definice posledn� vyjmenovan� verze optional;
# - p�i manu�ln� aktualizaci se pou�ije source definice posledn� vyjmenovan� verze manual
#
#
# mus� obsahovat definice v�ech vyjmenovan�ch alias�
###########################################################
##### t00 - abstract base #################################
# spole�n� definice pro c�lov� soubory
#
t00.abstract=1
t00.path=$destPath
##### t01 #####
t01.parent=t00
t01.info=Utilities Library
#t01.desc=dutils.jar
t01.file=dutils.jar
t01.version.required=f31;f11;f21
##### t02 #####
t02.parent=t00
t02.info=Crypto Extensions
#t02.desc=iaik_jce_full_signed.jar
t02.file=iaik_jce_full_signed.jar
t02.version.required=f12;f22
##### t03 #####
t03.parent=t00
t03.info=PKCS#11 Interface
#t03.desc=iaikPkcs11Provider_signed.jar
t03.file=iaikPkcs11Provider_signed.jar
t03.version.required=f13;f23
##### t04 #####
t04.parent=t00
t04.info=Cryptoki Wrapper
#t04.desc=iaikPkcs11Wrapper.jar
t04.file=iaikPkcs11Wrapper.jar
t04.version.required=f14;f24
##### t05 #####
t05.path=$systemPath
t05.info=PKCS#11 Wrapper
#t05.desc=pkcs11wrapper.dll
t05.file=pkcs11wrapper.dll
t05.version.required=f15;f25
##### t06 #####
t06.path=[java.home]/lib/security
t06.info=Java Local Policy
#t06.desc=local_policy.jar
t06.file=local_policy.jar
t06.version.required=f16;f26
##### t07 #####
t07.path=[java.home]/lib/security
t07.info=Java Export Policy
#t07.desc=US_export_policy.jar
t07.file=US_export_policy.jar
t07.version.required=f17;f27
##### t08 #####
#t08.parent=t00
#t08.info=IAIK Crypto Library
#t08.desc=iaik_javax_crypto.jar
#t08.file=iaik_javax_crypto.jar
#t08.version.required=f18
##### TCCI #####
TCCI.path=$systemPath
TCCI.info=Chip-Card Interface
#TCCI.desc=csep11.dll
TCCI.file=csep11.dll
TCCI.version.required=CCI2;CCI3;CCI1;CCI4
##### TCCD #####
TCCD.path=$systemPath
TCCD.info=Chip-Card Driver
#TCCD.desc=csep11p.dll
TCCD.file=csep11p.dll
TCCD.version.required=CCD2;CCD1;CCD4
##### TCCLS - R+M #####
TCCLS.path=$systemPath
TCCLS.info=Chip-Card Library Signature
#TCCLS.desc=csep11p.sig
TCCLS.file=csep11p.sig
TCCLS.version.required=CCLS2;CCLS1;CCLS4
----------------------------------------------------------------
update plan end
----------------------------------------------------------------
-
To se vám ta aplikace pokouší modifikovat systémovou Javu. To je teda megaprasárna a je správně, že na to při přihlášení jako běžný uživatel nemáte oprávnění. Jak tam píšou, kontaktujte linku podpory, pošlete jim ten log, a řekněte jim, že administrátorskými právy se přihlašovat nebudete, protože k tomu není žádný důvod (a ani ta administrátorská práva nemusíte mít).
-
Jak píše Filip, tak toto je skutečně humus. Možná si můžete lokálně nainstalovat ten US_export_policy.jar (je na to X návodů podle systému, samozřejmě myslím původní JARko, ne to dodáváno k té aplikaci), ale to je tak vše, co bych byl ochoten v systému s JVM udělat. A pouštět si zrovna prohlížeč pod rootem není na Linuxu úplně nejlepší nápad (navíc tady to může zastavit například selinux nebo podobné utilitky, nemusí to být čistě právy uživatele).
-
Obsah logu PKI/update2.log:
Kristova noho!!! To asi psal nějaký zelený mozek. :o :o :o
-
Na podporu portalzp.cz se obrátit můžu, můžu jim i poslat info o tom, "že administrátorskými právy se přihlašovat nebudete, protože k tomu není žádný důvod", ale vykašlou se na mě, pro přihlášení mají tři varianty - activex, javu a ověření přes sms, odkážou mě na to, že pokud trvám na linuxu a nemůžu to zprovoznit, mám přejít na sms ověření. To jsem do teď dělal, ale certifikát je pohodlnější a narostl mi objem práce, takže je to znát.
Jen se mi nechce to vzdát...
-
A ještě doplnění: jde o portál, který sdružuje asi šest zdravotních pojišťoven, vyřešení tohoto problému znamená možnost mít jako pracovní os linux pro řadu ambulancí - vykazovací software pod linuxem chodí, administrativa samozřejmě není problém, ale přístup na portál přes certifikát je velká komplikace, alternativní variantu pomocí ověřovací sms nemá každý zřízenou.
Ve zdravotnictví se leckdy plýtvá penězi, instalace Windows bývají zastaralé a špatně udržované a open source by mohl pomoci.
-
Tohle nesouvisí s Linuxem. Úplně stejně dopadnete ve Windows, pokud budete přihlášen jako běžný uživatel. To, že bude aplikace z webu zapisovat do systémových adresářů opravdu není dobrý nápad. Navíc je to úplně zbytečné, ta aplikace vůbec nepotřebuje mít ty knihovny v systémovém adresáři Javy, může je mít jako aplikační knihovny jako každá jiná aplikace. Opravdu by mne zajímalo, jak může takovouhle aplikaci vytvořit někdo, kdo vůbec neví, jak se Java aplikace distribuují.
Navíc by mne zajímalo, k čemu tu aplikaci tedy vlastně potřebují, protože přihlášení privátním klíčem je normální součástí HTTPS a umí to každý webový prohlížeč.
Ale jestli máte odvahu spouštět pod rootem webový prohlížeč a v něm aplikaci, která může dělat v systému cokoli, klidně to udělejte – mně je to jedno, můj počítač to není.
vyřešení tohoto problému znamená možnost mít jako pracovní os linux pro řadu ambulancí
Tento problém ale nemůže vyřešit nikdo jiný, než autor té aplikace. Stačí, aby se naučil, jak se distribuují javovské aplikace, a aplikaci znovu zabalil. Navíc jak už jsem psal, s Linuxem to nijak nesouvisí.
-
Ty informace podpoře portalzp.cz předám, ale je to jako byste chtěl takové změny po bance nebo státní správě. Nechci to zprovoznit za každou cenu (tedy s rizikem ohrožení svých dat). Pod rootem jsem pouštěl pouze tuto stránku.
Proč k podpisu certifikátem potřebují Javu nevím, podle mě jde možná o anachronismus z pradávných let, na portálu VZP vše běží přes prohlížeč a bez problémů.
Možnost, že ovlivním portál ZP k nějaké změně je asi nulová, budu se s tím muset smířit a kolegové s Windows budou dál používat ActiveX řešení.
Jen pro zajímavost, jde např. o tuto adresu:
https://portal.vozp.cz/clogc00prv.phtml (https://portal.vozp.cz/clogc00prv.phtml)
-
Ano, toto řešení je už dneska anachronismus, ale pravděpodobně nejste v pozici to nějak moc ovlivnit (kdyby to takto měl nastavené nějaký e-shop, asi by počet zákazníků byl skoro nulový :-) Samozřejmě v případě e-shopu nebo banky je situace jednoduše řešitelná, tady ne.
Teoreticky by bylo možné všechny ty stahované soubory (*.jar) uložit na CLASSPATH do uživatelského adresáře s applety. Ten adresář se dá zjistit asi přes Java Control Panel (zrovna v tomto ohledu se Oracle JDK liší od OpenJDK + IcedTea Web). Otázka je, jestli se to dá takto na dálku vysvětlit a otestovat.
-
Ano, toto řešení je už dneska anachronismus, ale pravděpodobně nejste v pozici to nějak moc ovlivnit (kdyby to takto měl nastavené nějaký e-shop, asi by počet zákazníků byl skoro nulový :-) Samozřejmě v případě e-shopu nebo banky je situace jednoduše řešitelná, tady ne.
Teoreticky by bylo možné všechny ty stahované soubory (*.jar) uložit na CLASSPATH do uživatelského adresáře s applety. Ten adresář se dá zjistit asi přes Java Control Panel (zrovna v tomto ohledu se Oracle JDK liší od OpenJDK + IcedTea Web). Otázka je, jestli se to dá takto na dálku vysvětlit a otestovat.
Přesně, tak bych to taky nejdříve řešil.
1) Zkontroluj jestli máš dané soubory v daných adresářích, případně nastav právo přístupu "userovi" k těmto souborům
/usr/lib/jvm/java-8-oracle/jre/lib/ext/dutils.jar
/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaik_jce_full_signed.jar
/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Provider_signed.jar
/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Wrapper.jar
/usr/lib/jvm/java-8-oracle/jre/lib/security/local_policy.jar
/usr/lib/jvm/java-8-oracle/jre/lib/security/US_export_policy.jar
2)A pokud nejsou, pak prostě je manuálně stáhni a rozbal tyto soubory a nakopíruj do cílových adresářů:
https://portal.vozp.cz/obj/dutils.zip
(/usr/lib/jvm/java-8-oracle/jre/lib/ext/dutils.jar)
https://portal.vozp.cz/obj/jce.zip
(/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaik_jce_full_signed.jar)
https://portal.vozp.cz/obj/provider.zip
(/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Provider_signed.jar)
https://portal.vozp.cz/obj/wrapper.zip
(/usr/lib/jvm/java-8-oracle/jre/lib/ext/iaikPkcs11Wrapper.jar)
https://portal.vozp.cz/obj/policy.zip
(/usr/lib/jvm/java-8-oracle/jre/lib/security/local_policy.jar)
https://portal.vozp.cz/obj/policy.zip
(/usr/lib/jvm/java-8-oracle/jre/lib/security/US_export_policy.jar)
nastav práva přístupu uživatele a mohlo by to fungovat.
-
Pod rootem jsem pouštěl pouze tuto stránku.
Jenom celou stránku a celou tu šílenou aplikaci, která vyžaduje plný přístup k zápisu kamkoli na váš disk. Autor té aplikace je buď neuvěřitelně drzý, a řekl si, že když ke škodění potřebuje rootovská práva, tak si o ně prostě řekne. A nebo je neuvěřitelně neschopný, pak bych se nebál úmyslného útoku, ale toho, že ta aplikace bude pěkně děravá.
Proč k podpisu certifikátem potřebují Javu nevím, podle mě jde možná o anachronismus z pradávných let, na portálu VZP vše běží přes prohlížeč a bez problémů.
Vy jste předtím psal o přihlášení. K tomu Java potřeba není. Teď píšete o elektronickém podpisu, ten naopak v současné době není možné bezpečně udělat jen v prohlížeči, Java je pak nejlepší volba (podpis v prohlížeči jde udělat jedině s privátním klíčem v souboru, což má k bezpečnosti daleko).
Možnost, že ovlivním portál ZP k nějaké změně je asi nulová, budu se s tím muset smířit
Pokud se s tím smíříte, je ta možnost opravdu nulová. Ono je klidně možné, že programátoři toho portálu se už mezitím naučili, jak se distribuují Java aplikace, ale když to chtějí změnit, zeptá se manažer nebo zadavatel – stěžoval si někdo? Nestěžoval, takže není důvod to měnit.
kolegové s Windows budou dál používat ActiveX řešení.
To ActiveX řešení předpokládám funguje jenom v Internet Exploreru.
Ty informace podpoře portalzp.cz předám, ale je to jako byste chtěl takové změny po bance nebo státní správě.
To já si představit dokážu. Programátoři takových aplikací si dokážou vymyslet takové opravy a vylepšení, že by vás jako klienta nikdy nenapadly. Akorát to nebudou dělat ve svém volném čase a klienti jsou spokojeni se současným stavem.
-
Omlouváme se za matení pojmů. Prostě to má fungovat tak, že kvalifikovaným certifikátem se přihlásíte na portál zdravotních pojišťoven. K podpisu se certifikát používá při podepisování dodatků smluv u některých pojišťoven, to se pak řeší přes podpis PDF souborů a to je jiná kapitola.
S podporou PortalZP jsem mluvil asi před třemi týdny, mám dojem, že řešení kdysi prostě někde koupili a už ho neudržují, nezdál se být moc kompetentní pro řešení problémů s Javou.
ActiveX je opravdu jen pro IE, skusil jsem to jen tak z legrace rozchodit přes Wine, ale zřejmě není ve Wine podpora pro certifikáty. Prohlížeč IE 8 jsem nainstaloval, certifikát do něj uložil, nastavení ActiveX také udělal, ale nefunguje to. To ale píšu jen pro zajímavost, tímto způsobem problém řešit nechci.
-
Díky moc, určitě to vyzkouším.
-
Tak ja by som toto spravanie sa aplikacie zrovna za "prasarnu" alebo "humus" neoznacoval.
Podla dostupnych informacii z logu sa to snazi doinstalovat JCE kniznicu, teda java kryptograficke rozsirenie. Postupoval by som presne ako technomaniak - stiahol tieto kniznice manualne a nakopiroval ich do java adresarovej struktury.
Podla mojich znalosti java dovoli nacitat niektore kniznice len z $JAVA_HOME adresara (a jeho podadresarov). JCE kniznice sa zvycajne instaluju do "Java Optional Packages" adresara - $JAVA_HOME/jre/lib/ext.
V tvojom pripade je $JAVA_HOME=/usr/lib/jvm/java-8-oracle/
Majo
-
Tak ja by som toto spravanie sa aplikacie zrovna za "prasarnu" alebo "humus" neoznacoval.
Zjevně máte velmi posunutý práh bolesti.
Podla dostupnych informacii z logu sa to snazi doinstalovat JCE kniznicu, teda java kryptograficke rozsirenie.
Ne, podle dostupných informací z logu se to snaží doinstalovat JCE, ale vedle ní také další knihovny.
Třeba KeyStore Explorer ke svému běhu také potřebuje JCE, ale řeší to tak, že uživateli v prohlížeči otevře příslušnou stránku ke stažení a instruuje uživatele, co má s knihovnou udělat. Což je postup, který vede k cíli, protože to udělá uživatel sám, pokud může získat příslušná oprávnění, nebo má přesný popis, co má požadovat po správci.
Navíc tenhle způsob pokoutné distribuce a instalace je nejspíš nelegální – před stažením JCE z webu musíte odsouhlasit nějaké podmínky, v README v distribuovaném souboru jsou napsané další podmínky, na to celé ta aplikace kašle.
Postupoval by som presne ako technomaniak - stiahol tieto kniznice manualne a nakopiroval ich do java adresarovej struktury.
Při vašem snížené prahu bolesti vás asi nenapadlo, že to vůbec nemusí stačit, protože té aplikaci může být úplně jedno, že tam ty knihovny už jsou, a může se pokoušet je tam nainstalovat znova.
Navíc ta aplikace se tam pokouší nainstalovat různé knihovny, např. kryptografickou knihovnu IAIK. Tu tam nainstaluje v nějaké své verzi, jiná aplikace bude chtít použít IAIK ve své verzi, jenže IAIK v bootclasspath dostane přednost – a ta aplikace nebude fungovat.
Nebo-li pokud si chce uživatel úplně rozbít JRE, aby mu přestalo fungovat co nejvíc Java aplikací, doporučuju ten postup s kopírováním knihoven do systémového adresáře.
Podla mojich znalosti java dovoli nacitat niektore kniznice len z $JAVA_HOME adresara (a jeho podadresarov).
To máte špatné znalosti. $JAVA_HOME je systémová proměnná prostředí, která podle konvence ukazuje JRE nebo JDK. Ale tu konvenci používají některé Java programy, samotné JRE od Oracle tuhle proměnnou vůbec nepotřebuje.
Knihovny umístěné v adresářích JRE se automaticky přidávají na BOOTCLASSPATH a mají přednost před knihovnami ve standardní CLASSPATH. Ale i BOOTCLASSPATH je možné při startu aplikace změnit.
JCE kniznice sa zvycajne instaluju do "Java Optional Packages" adresara - $JAVA_HOME/jre/lib/ext.
Ne, instalují se do JRE do adresáře lib/security. Což zjistí každý, kdo si JCE normálně stáhne a přečte si soubor README.txt uvnitř toho staženého zipu. Pokud někomu tu knihovnu pokoutně podstrčí do systému nějaká aplikace, tak se tohle samozřejmě nedozví.
-
Zjevně máte velmi posunutý práh bolesti.
No musim priznat ze ten prah bolesti uz trosku posunuty mam ;). Bohuzial banky a poistovne stale setria prostriedkami vynalozenymi na vyvoj aplikacii a potom to takto vyzera.
Ne, podle dostupných informací z logu se to snaží doinstalovat JCE, ale vedle ní také další knihovny.
Aby sme sa netahali za slovicka. Snazi sa to nainstalovat Oracle JCE Jurisdiction policy subory a okrem toho kniznice samotneho IAIK JCE rozsirenia.
Třeba KeyStore Explorer ke svému běhu také potřebuje JCE, ale řeší to tak, že uživateli v prohlížeči otevře příslušnou stránku ke stažení a instruuje uživatele, co má s knihovnou udělat. Což je postup, který vede k cíli, protože to udělá uživatel sám, pokud může získat příslušná oprávnění, nebo má přesný popis, co má požadovat po správci.
Navíc tenhle způsob pokoutné distribuce a instalace je nejspíš nelegální – před stažením JCE z webu musíte odsouhlasit nějaké podmínky, v README v distribuovaném souboru jsou napsané další podmínky, na to celé ta aplikace kašle.
Suhlasim s tym ze sposob distribucie nie je idealny. Podla vsetkeho si vyvojari snazili ulahcit pracu, pripadne sa vyhnut pisania uzivatelskej dokumentacie, ale to ich vobec neospravedlnuje. Co sa tyka licencii, samotna JCE o ktoru sa tu jedna (IAIK-JCE + PKCS add-on) vyzera byt komercne predavana takze tu mozme len dufat ze to ta zdravotna poistovna zakupila a ma to pokryte nejakou nelimitovanou licenciou. Samozrejme JCE jurisdiction policy subory (local_policy.jar, US_export_policy.jar) su ina vec, tie by mal uzivatel stiahnut z Oracle webu a nainstalovat sam.
Ne, instalují se do JRE do adresáře lib/security. Což zjistí každý, kdo si JCE normálně stáhne a přečte si soubor README.txt uvnitř toho staženého zipu. Pokud někomu tu knihovnu pokoutně podstrčí do systému nějaká aplikace, tak se tohle samozřejmě nedozví.
Stiahol som a precital. Lenze tu sa nebavime o JCE ale o JCE jurisdiction policy suboroch.
Tiez som si precital dokumentaciu k JCE IAIK ktora odporuca dva sposoby - bud pouzit CLASSPATH alebo nakopirovat subory do JRE/lib/ext adresara.
Pre konecneho uzivatela tu asi neostava vela moznosti ak chce danu aplikaciu pouzivat. Asi iba stiahut spravne JCE Jurisdiction policy od Oraclu a pouzit JCE IAIK subory od poistovne. Mozno by tu bola moznost dat tie JCE IAIK subory niekde do uzivatelskeho adresara a ten pridat do CLASSPATH, ja by som ich vsak na zaciatok nakopiroval to lib/ext a vyskusal ci ta aplikacia vobec funguje.
-
Aby sme sa netahali za slovicka. Snazi sa to nainstalovat Oracle JCE Jurisdiction policy subory a okrem toho kniznice samotneho IAIK JCE rozsirenia.
Snaží se ta stáhnou a nainstalovat následujících šest souborů:
- dutils.jar
- iaik_jce_full_signed.jar
- iaikPkcs11Provider_signed.jar
- iaikPkcs11Wrapper.jar
- local_policy.jar
- US_export_policy.jar
To první jsou úplně obyčejné utility českého autora (balíček com.pvt dává tušit, kde by se dalo pátrat). Další tři jsou komponenty knihovny IAIK, která pokud vím nemá samostatné Unlimited Strength Jurisdiction Policy, protože všechny implementovnaé algoritmy jsou přímno součástí té základní verze. Teprve poslední dva jsou JCE Unlimited Strength Jurisdiction Policy od Oracle.
Stiahol som a precital. Lenze tu sa nebavime o JCE ale o JCE jurisdiction policy suboroch.
O těch já jsem také psal – chápal jsem to tak, že „JCE“ používáte jako zkratku pro „JCE Unlimited Strength Jurisdiction Policy“.
Tiez som si precital dokumentaciu k JCE IAIK ktora odporuca dva sposoby - bud pouzit CLASSPATH alebo nakopirovat subory do JRE/lib/ext adresara.
Přičemž ten druhý způsob je možný použít jedině v případě, že to JRE je vyhrazené pro aplikaci nebo aplikace, které počítají s tím, že budou mít na classpath tuto konkrétní verzi IAIK. Ono je naštěstí nutné JCE providera explicitně v kódu zaregistrovat, pokud by to tak nebylo, dalo by se pouhým nakopírováním těch knihoven do JRE/lib/ext odstavit aplikaci, která IAIK vůbec nepoužívá – stačilo by, že by při získávání implementací JCE neuváděla konkrétního providera a nacpalo se tam tohle „systémové“ IAIK, které by nepodporovalo nějaký algoritmus, se kterým daná aplikace počítá.
Pre konecneho uzivatela tu asi neostava vela moznosti ak chce danu aplikaciu pouzivat.
Tazatel ale psal o tom, že by chtěl, aby to mohli používat i ostatní uživatelé Linuxu. Což bude těžko splňovat postup – nainstalovat oddělené JRE, přepsat v něm soubory zasílané aplikací, nasměrovat na toto JRE prohlížeč. Navíc v tom balíčku pro stahování jsou i nějaké dll knihovny, takže uživatelům na Windows by se to nejspíš posléze pokoušelo zapisovat i do systémového adresáře Windows, a uživatelé Linuxu by měli stejně smůlu.
Asi iba stiahut spravne JCE Jurisdiction policy od Oraclu
Což nemusí pomoci, protože ta aplikace zjišťuje přítomnost správných souborů podle jejich kontrolního součtu – takže je potřeba použít přesně ty soubory dodávané s aplikací.
ja by som ich vsak na zaciatok nakopiroval to lib/ext a vyskusal ci ta aplikacia vobec funguje.
Otestovat, zda ta aplikace vůbec funguje, by měli především její autoři. V tomto případě je zjevné, že aby ten stávající stav někdo z pozice uživatele rozchodil, musel by mít mnohem větší znalosti, než původní autoři aplikace, a byla by to soustava hacků neaplikovatelná v jakémkoli jiném prostředí. Jediné rozumné, co se s touhle aplikací dá udělat, je hodit jí autorům na hlavu, ať to opraví.
Pokud tazatel opravdu chce trávit několik dní tím, aby to rozchodil sám u sebe, s rizikem, že druhý den vyjde nová verze a bude muset začít od začátku, ať se do toho klidně pustí. Ale těžko to s ním bude někdo hackovat přes diskusní fórum.
-
Ahoj, jsem autor té aplikace. Pobavilo mě, na co jsem tady dnes narazil :). Aplikace totiž pochází z roku 2003 a původně se používala v Servisu24 Spořitelny pro digitální podpis z čipových karet v prohlížeči. Pro portál ZP byla pouze trošku upravena několik let později a bylo tam jen přidáno rozhraní, které emulovalo vybrané funkce z ActiveX Signera, protože PZP chtěl vyjít vstříc uživatelům, kteří neměli Win a IE.
Co se týče té bezpečnosti, důvodem kopírování těch fajlů do lib-ext byla skutečně instalace kryptografického rozšíření do JRE. Jinak to dost blbě fungovalo a v appletu to pak blilo milón security výjimek atp. 9navíc při pokusech řešit to jinak to fungovalo s jednou verzí JRE, s jinou zas ne a ta instalace do extu to nakonec univerzálně vyřešila). Kdysi k tomu ke čtečce čip. karet dávala Spořitelna i instalační cédéčko. Jasný, že dneska už se to dělá jinak i ty applety jsou už dnes taková mrtvá technologie.
V té firmě už léta nedělám a to, že nebyli schopni zaplatit upgrade nebo vývoj nové moderní verze, není můj problém. Ale fakt pobavilo, že se to ještě používá, to jsem fakt nečekal :), některý věci mě asi ještě přežijou a uživatelé ještě budou proklínat můj hrob :)
-
Jinak k tomu byla i off-line instalace, tak se divím, že ji na PZP nemaj ke stažení. Jinak dokumentace k tomu byla rozsáhlá, Spořka k tomu dávala kromě čtečky karet a CD s instalací i takovou knížečku. A ty jejich požadavky byly na tu dobu taky docela nereálný, původně chtěli zpětnou kompatibilitu s Javou 1.1, což byl nesmysl, pak to skončilo na 1.3 :). Samo to prošlo taky drsným bezpečnostním auditem. Ale jak jsem psal, primárně to bylo určené pro práci s certifikátem na čipové kartě, což přinášelo další security problémy k tomu, že to mělo běžet v appletu.
-
.. některý věci mě asi ještě přežijou a uživatelé ještě budou proklínat můj hrob :)
Jak, kteří. Ale určitě jsi tehdy netušil, že to může způsobit i flamewar. ;D ;D ;D
"Případně jsi součástí konspiračního spiknutí proti Linuxu za účelem dobrovolného/nedobrovolného upgrade na Win10 " ;D ;D ;D ;D
-
Tak diskuse nabrala zajímavý spád, autora bych tu nečekal, vítejte :-)
Priority pro Portál ZP jsou evidentně jinde, k upgrade je asi donutí až situace, kdy nepoběží ani ActiveX řešení.