<html><head><meta http-equiv="Content-Type" content="text/html; charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">Please ignore the new version of the fix, (i.e. </span><span style="text-decoration: underline ; font-kerning: none; color: #0069d9" class=""><a href="http://cr.openjdk.java.net/~dmarkov/8154405/webrev.01/" class="">http://cr.openjdk.java.net/~dmarkov/8154405/webrev.01/</a></span><span style="font-kerning: none" class="">). It was found out that the usage of fallback code introduces a potential security issue. So I will integrate the previous version of the fix, (i.e. <a href="http://cr.openjdk.java.net/~dmarkov/8154405/webrev.00/" class="">http://cr.openjdk.java.net/~dmarkov/8154405/webrev.00/</a>) which is already approved on this list.</span></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal; min-height: 16px;" class=""><span style="font-kerning: none" class=""></span><br class=""></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">Sean,</span></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">Could you take a look at <a href="http://cr.openjdk.java.net/~dmarkov/8154405/webrev.00/" class="">http://cr.openjdk.java.net/~dmarkov/8154405/webrev.00/</a> , please?</span></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal; min-height: 16px;" class=""><span style="font-kerning: none" class=""></span><br class=""></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">Thank you in advance,</span></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">Dmitry</span></div><div><br class=""><blockquote type="cite" class=""><div class="">On 8 Dec 2017, at 11:19, Dmitry Markov <<a href="mailto:dmitry.markov@oracle.com" class="">dmitry.markov@oracle.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="Content-Type" content="text/html; charset=us-ascii" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Reminder. Could you take look, please?<div class=""><br class=""></div><div class="">Also I would like to clarify the purpose of the fallback mechanism introduced by the new version. The fallback code addresses the issue that users have not knowing what permission to grant because some connections, (e.g. HTTP) may be established by granting either URLPermission or SocketPermission and it is unclear what permission type is used for check by getImage() or createImage(). In fact this code fixes backward compatibility issue caused by switching from SocketPermission to URLPermission. </div><div class=""><br class=""></div><div class="">Thanks,</div><div class="">Dmitry</div><div class=""><div class=""><br class=""><blockquote type="cite" class=""><div class="">On 1 Dec 2017, at 18:07, Dmitry Markov <<a href="mailto:dmitry.markov@oracle.com" class="">dmitry.markov@oracle.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="Content-Type" content="text/html; charset=us-ascii" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">During the CSR review it was decided to update proposed fix. The new version is located at <a href="http://cr.openjdk.java.net/~dmarkov/8154405/webrev.01/" class="">http://cr.openjdk.java.net/~dmarkov/8154405/webrev.01/</a></span></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">Could you review the new version, please?</span></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal; min-height: 16px;" class=""><span style="font-kerning: none" class=""></span><br class=""></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">The list of changes:</span></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">- Updated the description of Toolkit.getImage(URL u) and Toolkit.createImage(URL u) (made the wording less specific)</span></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">- Added some backward compatibility support to SunToolkit.checkPermission() and to the constructor of URLImageSource. Now if security check of URLPermission is failed we will check the corresponding SocketPermission.</span></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">- Added regression test.</span></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal; min-height: 16px;" class=""><span style="font-kerning: none" class=""></span><br class=""></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">Thanks,</span></div><div style="margin: 0px; font-stretch: normal; font-size: 13px; line-height: normal;" class=""><span style="font-kerning: none" class="">Dmitry </span></div><div class=""><br class=""><blockquote type="cite" class=""><div class="">On 18 Nov 2017, at 15:30, Dmitry Markov <<a href="mailto:dmitry.markov@oracle.com" class="">dmitry.markov@oracle.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="Content-Type" content="text/html charset=us-ascii" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">I have created the following one <a href="https://bugs.openjdk.java.net/browse/JDK-8191531" class="">https://bugs.openjdk.java.net/browse/JDK-8191531</a><div class=""><br class=""></div><div class="">Thanks,</div><div class="">Dmitry<br class=""><div class=""><blockquote type="cite" class=""><div class="">On 17 Nov 2017, at 22:10, Sergey Bylokhov <<a href="mailto:sergey.bylokhov@oracle.com" class="">sergey.bylokhov@oracle.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div class="">On 17/11/2017 12:28, Dmitry Markov wrote:<br class=""><blockquote type="cite" class="">Thank you, Sergey! Shall I create a CSR for this?<br class=""></blockquote><br class="">yes we need a CSR.<br class=""><br class=""><br class=""><br class="">-- <br class="">Best regards, Sergey.<br class=""></div></div></blockquote></div><br class=""></div></div></div></blockquote></div><br class=""></div></div></blockquote></div><br class=""></div></div></div></blockquote></div><br class=""></body></html>