Kandu.dk - Password hardcoded ind i applet


/ Forside / Teknologi / Udvikling / Java / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Java

#	Navn	Point
1	molokyle	3688
2	Klaudi	855
3	strarup	740
4	Forvirret	660
5	gøgeungen	500
6	Teil	373
7	Stouenberg	360
8	vnc	360
9	pmbruun	341
10	mccracken	320

Password hardcoded ind i applet
Fra : Mogens Heller Jensen

Dato : 29-08-05 15:38

Hej gruppe!

Jeg har lavet en applet, som fungerer som en simpel FTP-klient. Applettens
opgave er at uploade store filer (for store til HTTP upload), og den skal
derfor logge ind på en helt bestemt FTP server og overføre filen. Appletten
er signeret og det hele, så den fungerer fint på klienterne.

Men men men... jeg har endnu ikke løst følgende problem: Hvor lægger man
login og password sådan at folk ikke kan køre en decompile på .class-filen
og se det hele?

Jeg ved at der findes bytecode-obfuscator-programmer, men de gør det kun
sværere at læse decompile-koden, de gør det ikke umuligt at finde ud af
f.eks. et kodeord som er hardcoded (så vidt jeg er informeret).

På forhånd tak Glad

Mvh
Mogens

Mads Andreasen (29-08-2005)

Kommentar
Fra : Mads Andreasen

Dato : 29-08-05 16:58

Hej Mogens

Login + password bliver transmitteret fra klient til server i plain text.
Det vil være en del nemmere bare at opsnappe informationerne under
transmission, end det vil være at decompile en obfuscated class fil.

Med Venlig Hilsen
Mads

"Mogens Heller Jensen" <mogens@mookid.dk> wrote in message
news:43131d04$0$7630$ba624c82@nntp02.dk.telia.net...
> Hej gruppe!
>
> Jeg har lavet en applet, som fungerer som en simpel FTP-klient. Applettens
> opgave er at uploade store filer (for store til HTTP upload), og den skal
> derfor logge ind på en helt bestemt FTP server og overføre filen.
Appletten
> er signeret og det hele, så den fungerer fint på klienterne.
>
> Men men men... jeg har endnu ikke løst følgende problem: Hvor lægger man
> login og password sådan at folk ikke kan køre en decompile på .class-filen
> og se det hele?
>
> Jeg ved at der findes bytecode-obfuscator-programmer, men de gør det kun
> sværere at læse decompile-koden, de gør det ikke umuligt at finde ud af
> f.eks. et kodeord som er hardcoded (så vidt jeg er informeret).
>
> På forhånd tak Glad

>
> Mvh
> Mogens
>
>
>

Mogens Heller Jensen (29-08-2005)

Kommentar
Fra : Mogens Heller Jensen

Dato : 29-08-05 18:45

"Mads Andreasen" <manREMOVETHIS@aub.dk> wrote in message
news:431330a8$0$24871$4d4eb98e@read-nat.news.dk.uu.net...
> Hej Mogens
>
> Login + password bliver transmitteret fra klient til server i plain text.
> Det vil være en del nemmere bare at opsnappe informationerne under
> transmission, end det vil være at decompile en obfuscated class fil.
>

God pointe!

Min løsning bliver også at scramble koden med en obfuscator for at gøre det
lidt sværere for script kiddies at finde ud af login + kode. Packet sniffing
kan jeg ikke beskytte mig imod, idet det er en ukrypteret FTP connection.

Tak for svaret Glad

-Mogens

Michael Rasmussen (29-08-2005)

Kommentar
Fra : Michael Rasmussen

Dato : 29-08-05 18:55

On Mon, 29 Aug 2005 19:45:16 +0200, Mogens Heller Jensen wrote:

> Min løsning bliver også at scramble koden med en obfuscator for at gøre det
> lidt sværere for script kiddies at finde ud af login + kode. Packet sniffing
> kan jeg ikke beskytte mig imod, idet det er en ukrypteret FTP connection.
>
Er dine klienter kendte på forhånd - f.eks kunne du kræve en form for
registrering, før klienten kunne hentes? Ifald de er, kunne du benytte en
form for nøgle på klienten til at lave en form for session token, du
benyttede til at kryptere transmissionen med.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

Thorbjoern Ravn Ande~ (29-08-2005)

Kommentar
Fra : Thorbjoern Ravn Ande~

Dato : 29-08-05 17:39

"Mogens Heller Jensen" <mogens@mookid.dk> writes:

> Men men men... jeg har endnu ikke løst følgende problem: Hvor lægger man
> login og password sådan at folk ikke kan køre en decompile på .class-filen
> og se det hele?

ftp upload kan med fordel laves til et læsebeskyttet bibliotek således
at man ikke kan se dem når først de er havnet der.

--
Thorbjørn Ravn Andersen
http://unixsnedkeren.dk/ravn/

Mogens Heller Jensen (29-08-2005)

Kommentar
Fra : Mogens Heller Jensen

Dato : 29-08-05 18:47

"Thorbjoern Ravn Andersen" <nospam0000@gmail.com> wrote in message
news:yu2psrwpuiq.fsf@luhmann.netc.dk...
> "Mogens Heller Jensen" <mogens@mookid.dk> writes:
>
>> Men men men... jeg har endnu ikke løst følgende problem: Hvor lægger man
>> login og password sådan at folk ikke kan køre en decompile på
>> .class-filen
>> og se det hele?
>
> ftp upload kan med fordel laves til et læsebeskyttet bibliotek således
> at man ikke kan se dem når først de er havnet der.
>

God ide! Jeg slår bare de fleste features fra på FTP serveren, sådan at man
kun kan uploade filer. Derudover arrangerer jeg det bare således at filer
bliver flyttet ud af upload-biblioteket så snart de er oppe.

Tak for svaret Glad

-Mogens

Søg

Reklame

Statistik

Spørgsmål :	177452
Tips :	31962
Nyheder :	719565
Indlæg :	6408137
Brugere :	218879

Månedens bedste

Årets bedste

Sidste års bedste