29.2 Signieren
Obwohl bis jetzt immer von signierten Skripten die Rede war, war von einer Signatur nicht viel zu sehen. Wie bereits eingangs erwähnt wurde, kann man so nachweisen, dass das sicherheitskritische Skript von einem selbst stammt.
29.2.1 SignTool
Wenn Sie schon einmal in Java programmiert haben, kennen Sie wahrscheinlich das JAR-Dateiformat. Es handelt sich hierbei um eine Abwandlung des ZIP-Formats. Sie müssen Ihre Skripten in ein JAR-Archiv packen, um sie signieren zu können. Netscape bietet dazu ein Tool an, mit dem Sie das mehr oder minder bequem erledigen können. Es würde den Umfang dieses Buchs sprengen, wenn wir das hier ausführlich durchexerzieren würden; aus diesem Grund gebe ich nachfolgend nur Links auf die entsprechenden Ressourcen an, die Sie zum Signieren benötigen:
|
Um ein Skript zu signieren, benötigen Sie zunächst eine digitale ID. Diese wird unter anderem von der amerikanischen Firma Verisign, http://www.verisign.com/, ausgestellt. Das genaue Zertifikat, das Sie benötigen, heißt Code Signing Digital ID. Der Preis für ein Zertifikat hängt davon ab, ob Sie ein kommerzieller Softwareentwickler sind oder nicht. Auf der Seite http://www.verisign.com/products-services/ security-services/code-signing/digital-ids-code-signing/ finden Sie nähere Informationen. |
|
Das Softwarepaket NSS (erhältlich unter http://ftp.mozilla.org/pub/mozilla.org/security/nss/releases/) enthält SignTool, ein Hilfswerkzeug zum Signieren von Code. |
|
Außerdem benötigen Sie noch NSPR, das ebenfalls auf dem Mozilla-FTP-Server verfügbar ist (http://ftp.mozilla.org/pub/mozilla.org/nspr/releases/). |
Nähere Informationen zum Signieren von Code für Mozilla erhalten Sie unter http://www.mozilla.org/projects/security/components/signed-scripts.html.
29.2.2 HTML-Code anpassen
Das Programm SignTool erzeugt aus einem Skript und einem digitalen Zertifikat ein JAR-Archiv, das auf den Webserver überspielt werden muss. Zuvor jedoch muss der HTML-Code angepasst werden. Zum einen muss der Name des JAR-Archivs angegeben werden und zum anderen ein Identifikator. Dieser Identifikator wird in dem JAR-Archiv mit gespeichert. Das <script>-Tag sieht danach also folgendermaßen aus:
<script type="text/javascript" archive="datei.jar" id="id">
</script>
|