Ottima domanda Ironia della sorte, questa stessa funzionalità è stata esposta nella vecchia Microsoft JVM (10 anni fa).
Controllo di Java in Internet Explorer
https://blogs.msdn.com/b/ieinternals/archive/2011/05/15/controlling-java-in-internet-explorer.aspx
Di recente, c'è stato un certo interesse su come controllare l'uso di Java in Internet Explorer. Java è una forma unica di estensibilità perché può essere invocato in due modi:
- Utilizzando un elemento APPLET
- Utilizzo di un elemento OBJECT con un CLSID di una JVM
Questi due metodi di invocazione sono soggetti a diversi controlli di sicurezza, che descriverò nel post di oggi.
Controllo dei tag applet
Quando Internet Explorer rileva un tag APPLET, verifica il valore URLACTION_JAVA_PERMISSIONS per determinare se caricare APPLET. Se il valore è URL_POLICY_JAVA_PROHIBIT, il tag APPLET non può caricare la JVM. Nelle versioni precedenti di Internet Explorer, quando era disponibile una JVM Microsoft, questa URLAction era esposta nella finestra di dialogo Strumenti> Opzioni Internet> Sicurezza> Personalizzata ... ma da allora è stata rimossa.
È possibile utilizzare l'Editor criteri di gruppo per controllare l'URL Azione sotto il nodo \ Modelli amministrativi \ Componenti di Windows \ Internet Explorer \ Pannello di controllo Internet \ Pagina di sicurezza \ ZoneID:
In alternativa, è possibile apportare una piccola modifica al registro per aggiungere la voce Opzioni JVM al Pannello di controllo Internet:
Lo script del registro sfrutta il fatto che l'interfaccia utente del Pannello di controllo di Internet è estendibile tramite il registro; crea semplicemente un nuovo elemento che regola i valori dell'URL URLACTION_JAVA_PERMISSIONS.
Se si regolano le impostazioni della zona Internet da “Alta sicurezza” su Disabilita (URL_POLICY_JAVA_PROHIBIT), qualsiasi sito che tenta di utilizzare un tag APPLET troverà che l'applet non si carica e viene visualizzata una notifica:
Controllo dei tag degli oggetti
Sfortunatamente, quando un sito utilizza un tag OBJECT per caricare Java, viene eseguito un codepath completamente diverso. Nel caso di tag OBJECT, l'URL JAVA_PERMISSIONS non viene consultata, poiché per quanto riguarda Internet Explorer, potrebbe trattarsi di qualsiasi tipo di OBJECT. Vengono invece consultate le tradizionali funzionalità di controllo ActiveX (ad es. Filtro ActiveX, ActiveX per sito, gestione componenti aggiuntivi, ecc.). È possibile utilizzare la funzionalità Strumenti> Gestione componenti aggiuntivi di IE per esaminare o regolare lo stato dell'oggetto plug-in Java:
Nota: mi viene detto che l'oggetto Helper Browser Helper SSV plug-in Java non deve essere disabilitato, in quanto garantisce che i siti Web non possano tentare di caricare versioni precedenti (non sicure) della JVM eventualmente installata. Tuttavia, noterai che paghi una penalità di prestazione all'avvio della scheda per caricare questo BHO, questo è uno dei tanti motivi per cui non installo Java sul mio PC.
Se si seleziona il plug-in Java, è possibile fare clic sul pulsante Disabilita per impedire che Java venga caricato da un tag OBJECT. In alternativa, se si fa clic sul collegamento Ulteriori informazioni , è possibile cancellare * dall'elenco dei siti in cui è possibile eseguire il plug-in Java:
Se in seguito si visita un sito che tenta di richiamare Java come tag OBJECT, verrà visualizzata una barra di notifica che richiede l'autorizzazione per eseguire Java sul sito corrente.
Pertanto, se si desidera consentire l'esecuzione di Java solo nelle aree Intranet e Siti attendibili:
- Regola l'URL Azione per la Zona Internet su Disabilita
- Rimuovere * dall'elenco per sito del controllo ActiveX
Il passaggio n. 1 assicurerà che solo i siti della zona Intranet e della zona attendibile possano caricare tag Java per APPLET. Il passaggio n. 2 assicurerà che il plug-in Java non venga caricato come OBJECT su siti Internet Zone; verrà invece mostrata una notifica. Poiché Intranet e siti attendibili ignorano l'elenco ActiveX per sito, non verranno visualizzati ulteriori avvisi su tali siti.