/ Forside / Teknologi / Udvikling / Java / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Java
#NavnPoint
molokyle 3688
Klaudi 855
strarup 740
Forvirret 660
gøgeungen 500
Teil 373
Stouenberg 360
vnc 360
pmbruun 341
10  mccracken 320
Password hardcoded ind i applet
Fra : Mogens Heller Jensen


Dato : 29-08-05 15:38

Hej gruppe!

Jeg har lavet en applet, som fungerer som en simpel FTP-klient. Applettens
opgave er at uploade store filer (for store til HTTP upload), og den skal
derfor logge ind på en helt bestemt FTP server og overføre filen. Appletten
er signeret og det hele, så den fungerer fint på klienterne.

Men men men... jeg har endnu ikke løst følgende problem: Hvor lægger man
login og password sådan at folk ikke kan køre en decompile på .class-filen
og se det hele?

Jeg ved at der findes bytecode-obfuscator-programmer, men de gør det kun
sværere at læse decompile-koden, de gør det ikke umuligt at finde ud af
f.eks. et kodeord som er hardcoded (så vidt jeg er informeret).

På forhånd tak

Mvh
Mogens




 
 
Mads Andreasen (29-08-2005)
Kommentar
Fra : Mads Andreasen


Dato : 29-08-05 16:58

Hej Mogens

Login + password bliver transmitteret fra klient til server i plain text.
Det vil være en del nemmere bare at opsnappe informationerne under
transmission, end det vil være at decompile en obfuscated class fil.

Med Venlig Hilsen
Mads

"Mogens Heller Jensen" <mogens@mookid.dk> wrote in message
news:43131d04$0$7630$ba624c82@nntp02.dk.telia.net...
> Hej gruppe!
>
> Jeg har lavet en applet, som fungerer som en simpel FTP-klient. Applettens
> opgave er at uploade store filer (for store til HTTP upload), og den skal
> derfor logge ind på en helt bestemt FTP server og overføre filen.
Appletten
> er signeret og det hele, så den fungerer fint på klienterne.
>
> Men men men... jeg har endnu ikke løst følgende problem: Hvor lægger man
> login og password sådan at folk ikke kan køre en decompile på .class-filen
> og se det hele?
>
> Jeg ved at der findes bytecode-obfuscator-programmer, men de gør det kun
> sværere at læse decompile-koden, de gør det ikke umuligt at finde ud af
> f.eks. et kodeord som er hardcoded (så vidt jeg er informeret).
>
> På forhånd tak
>
> Mvh
> Mogens
>
>
>



Mogens Heller Jensen (29-08-2005)
Kommentar
Fra : Mogens Heller Jensen


Dato : 29-08-05 18:45


"Mads Andreasen" <manREMOVETHIS@aub.dk> wrote in message
news:431330a8$0$24871$4d4eb98e@read-nat.news.dk.uu.net...
> Hej Mogens
>
> Login + password bliver transmitteret fra klient til server i plain text.
> Det vil være en del nemmere bare at opsnappe informationerne under
> transmission, end det vil være at decompile en obfuscated class fil.
>

God pointe!

Min løsning bliver også at scramble koden med en obfuscator for at gøre det
lidt sværere for script kiddies at finde ud af login + kode. Packet sniffing
kan jeg ikke beskytte mig imod, idet det er en ukrypteret FTP connection.

Tak for svaret

-Mogens



Michael Rasmussen (29-08-2005)
Kommentar
Fra : Michael Rasmussen


Dato : 29-08-05 18:55

On Mon, 29 Aug 2005 19:45:16 +0200, Mogens Heller Jensen wrote:

> Min løsning bliver også at scramble koden med en obfuscator for at gøre det
> lidt sværere for script kiddies at finde ud af login + kode. Packet sniffing
> kan jeg ikke beskytte mig imod, idet det er en ukrypteret FTP connection.
>
Er dine klienter kendte på forhånd - f.eks kunne du kræve en form for
registrering, før klienten kunne hentes? Ifald de er, kunne du benytte en
form for nøgle på klienten til at lave en form for session token, du
benyttede til at kryptere transmissionen med.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


Thorbjoern Ravn Ande~ (29-08-2005)
Kommentar
Fra : Thorbjoern Ravn Ande~


Dato : 29-08-05 17:39

"Mogens Heller Jensen" <mogens@mookid.dk> writes:

> Men men men... jeg har endnu ikke løst følgende problem: Hvor lægger man
> login og password sådan at folk ikke kan køre en decompile på .class-filen
> og se det hele?

ftp upload kan med fordel laves til et læsebeskyttet bibliotek således
at man ikke kan se dem når først de er havnet der.

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk/ravn/

Mogens Heller Jensen (29-08-2005)
Kommentar
Fra : Mogens Heller Jensen


Dato : 29-08-05 18:47


"Thorbjoern Ravn Andersen" <nospam0000@gmail.com> wrote in message
news:yu2psrwpuiq.fsf@luhmann.netc.dk...
> "Mogens Heller Jensen" <mogens@mookid.dk> writes:
>
>> Men men men... jeg har endnu ikke løst følgende problem: Hvor lægger man
>> login og password sådan at folk ikke kan køre en decompile på
>> .class-filen
>> og se det hele?
>
> ftp upload kan med fordel laves til et læsebeskyttet bibliotek således
> at man ikke kan se dem når først de er havnet der.
>

God ide! Jeg slår bare de fleste features fra på FTP serveren, sådan at man
kun kan uploade filer. Derudover arrangerer jeg det bare således at filer
bliver flyttet ud af upload-biblioteket så snart de er oppe.

Tak for svaret

-Mogens



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste