Duda con java, descompiladores y seguridad

[kmikz]

hace un par de días comencé a preguntarme lo siguiente

 

que pasa si hago un programa en java que se conecte a una bdd remota, creo mi clase y todo dentro del mismo proyecto, lo clásico

 

ahora bien, existen infinidad de des-compiladores para java, los cuales, obviamente, aplican ingeniería inversa para mostrar el código java que genero ese proyecto, y por ende verán los códigos de conexión a la bdd remota (host, user, pass, bdd, driver, etc...)

 

*debo aclarar que no eh probado nada aun, esto se me ocurrió hace unos 2 días aprox. <_<

 

con esos datos, se puede dejar literalmente la caga... :banana:

 

como creen que se podría evitar esto, de que forma se podría aplicar mas "seguridad" ??

 

PD: no soy experto en java, pero me defiendo bien xd

 

saludos

 

[miandroid21]

Segun el libro el Hacker 6 ISBN: 9786071502216, siempre van a existir formas para leer un codigo ya compilado ..

 

Lo unico que define una buena seguridad es el tiempo que se demore el atacante.. Pero de leer el codigo lo van hacer igual sea como sea.

[rvega77]

<_< Estimando, su pregunta me inspiro a googlear un rato (bastante rato... de hecho, me debi acostar hace rato.... :tonto: )

 

Pero bueno, hace mucho tiempo me hice la misma pregunta... ¿donde guardar los datos de conexión hacia la BD de mis aplicaciones de escritorio?

 

Opciones:

1. :blink: "HardCode" (en el codigo)... mmm, se puede ver con el block de notas sin mucha dificultad (ademas, hay que recompilar si deseas cambiar la psw)

 

2. :hide: en un archivo externo..., escondido... o con nombres extraños en las mas profundas carpetas del sistema... (aplicando técnicas de ofuscamiento) Pero si el usuario lo descubre, este esta en texto plano (aunque sea XML) (ademas, basado en la primera opcion, el usuario puede ver cualquier "lieteral String" de nuestro codigo, por ende, puede ver como se llama el archivo de texto que deseamos leer...)

 

 

3. entonces donde... Lo que todos dices es "Encripta la PSW" y los mas pillos dicen Usa MD5 o SHA-1 (o similares)...

 

Aunque no es tan mala idea, debes saber que para encriptar, también debes desencriptar (por eso no sirve MD5 y SHA, ya que son algoritos unidireccionales de "Digest") :blink:

 

 

Para realizar criptografia, debes tener una clave.... :banana: :banana: :banana: Pero donde guardas la clave????...

 

O_o Ya se... la solucion es...

 

 

:burla: La verdad es que ahora hago aplicaciones Web y la conexión a la BD la configuro en el "Apication Server"...

 

 

Saludos y ojala alguien tenga alguna experiencia personal para compartir con el foro...

 

 

:bravo: :bravo: :bravo: :bravo: :bravo: :bravo:

 

 

 

 

 

 

 

 

 

[kmikz]

jajajajaja

 

les cuento, estuve conversando con un profe y me dijo que podría conectarme a la bdd a través de un tercero y no directamente con mi aplicación en java, la verdad al principio no entendi bien lo que me quizo decir, pero la idea es que no maneje directamente la conexion a la bdd con la aplicacion en java, sino a travez de un proveedor de datos y que este se conecte a la bdd...(ni yo entendi lo ke dije xd)

 

y aun asi no termino de entender jajajajajajajajajajaaj

 

este es un tema ke da pa arto xddd

 

uta, ojala, alguien ke alla pensado en esto y alla llegado a una solucion lo mas cercana a la perfeccion nos alumbre, mas ke nada para tenerlo como referencia para el futuro, esto se me ocurrio de ocioso xdd, ademas, puede servir para otros lenguajes no solo para java

 

 

saludos

Edited June 26, 2011 by kmikz

[naarf]

Podrias dejar que la conexion la cree el servidor, a traves de pool de conexiones.

 

Saludos.

[wtfbenja]

ayer baje un descompilador y encontre un applet que me intereso en una pagina, webie un poco con la url y pude descargarlo buscando, despues lo descompile y pude ver too el codigo.

 

pero ahora fuera de los applet, hablando de jps por ejemplo nica creo que sea lo mismo, uno claro tiene acceso al codigo fuente superficial, pero yo caxo que la conexion con el servidor se puede colocar en una capa mucho mas abajo. por ejemplo un profe siempre nos decia nunca accedan a un elemento de forma directa tiene que verlo a travez de un metodo, entonces el dato queda una capa por decirlo asi mas abajo y es mas dificil acceder.

 

weno pero nada es irropible, pero aun asi le tengo mucha fe a java en cuanto a la seguridad. sobretodo porque tiene los tipos private y esas cosas que creo hacen mucho mas dificil acceder a los datos.