Tenemos una aplicación web que utiliza un applet de Java para manipular archivos en el disco local. Lo desarrollamos durante bastante tiempo y ya conocemos todos los tipos con problemas que un applet puede tener con los sistemas operativos y navegadores modernos y las últimas versiones de Java y las nuevas restricciones de seguridad.

Ayer Apple lanzó su nuevo Mac OS 10.9 Mavericks con el nuevo navegador Safari (7.0). Probé nuestra aplicación web en Safari 7 / Mac OS X 10.9 solo para encontrar que Safari 7 (¿probablemente?) Bloquea el acceso a los archivos locales desde el applet de Java.

Aunque el applet (firmado con el certificado Thawte válido, y con todos los requisitos de seguridad específicos de Java 7u45 cumplidos) se ejecuta en modo no restringido con acceso completo al sistema de archivos local (el indicador de seguridad de Java dice eso), al intentar acceder al archivo local, detecta el archivo. :

java.io.FileNotFoundException: /Users/yury/Pictures/Paris 2012/L1050258.jpg (Operation not permitted)
    at java.io.FileInputStream.open(Native Method)
    at java.io.FileInputStream.<init>(FileInputStream.java:146)
    at com.trackntag.a.v.a(Unknown Source)

Además, al abrir el cuadro de diálogo para abrir archivos Java desde el applet, no muestra ningún archivo y las carpetas en el selector de carpetas no tienen ningún icono (normalmente deberían tenerlos). Cuando regresa a la carpeta raíz, puede ver las carpetas de nivel superior (bin, cores, dev, home, etc.), pero no puede buscarlas.

El applet tiene acceso a los archivos locales con la última versión de Firefox 24 para Mac, en la misma máquina (Java 7u45, Mac OS X 10.9). Lo mismo con Safari 6 y Mac OS X 10.8.5, sin mencionar las máquinas Linux y Windows en varias configuraciones: no hay problemas con el acceso a los archivos locales.

Teniendo todo lo anterior, debo concluir que nos hemos encontrado con el problema específico de Safari 7.

¿Tienes alguna idea sobre este tema? Cualquier idea es grandemente apreciada.

Saludos, Yury

EDITAR (Respuesta): En Safari 7 hay una nueva configuración de seguridad: Modo seguro / inseguro (creo que es solo para el complemento Java). Puede permitir que el complemento de Java funcione en modo no seguro para sitios web individuales o para todos los sitios. En el modo no seguro, los applets tendrán acceso ilimitado al sistema de archivos local.

Parece que esta configuración de seguridad funciona sobre la configuración de seguridad propia de Java (acceso restringido / no restringido).

Esta configuración está disponible a través de las preferencias de Safari / pestaña Seguridad / complementos de Internet: administre la configuración del sitio web (luego seleccione el complemento de Java).

Entonces, una vez que ya haya respondido a mi propia pregunta original, prefiero reformularla: ¿es posible establecer el modo no seguro o anular el modo seguro para un sitio web / URL específico sin pedirle al usuario que establezca esta preferencia de seguridad? Tal vez algo como certificado de desarrollador de Apple ayudaría?

¡Gracias de nuevo!