Incorporare libreria JAR

[andbin]

Ho dato in pasto la Classe "criptata" ad un decompilatore che tra le altre cose ha rivelato anche questi dati sensibili.

Non è nemmeno necessario arrivare ai "decompilatori" .. bastava un disassemblatore, il tool 'javap' del JDK. Ma addirittura basta una utility di hex-viewer/editor per leggere tutte le stringhe che sono presenti in un .class! (le stringhe sono memorizzate nei .class in un UTF-8 "modificato" ma perlomeno per i caratteri ASCII sono perfettamente leggibili)

Normalmente con Java qual'è l'usanza per proteggere questi dati sensibili?

Puoi chiederli all'utente ad ogni avvio della applicazione. Ma se non è possibile e/o non pratico, allora ad esempio salvarli da qualche parte sul file-system (magari in una locazione non proprio palese ed evidente), in forma criptata usando le API della Security di Java, con un algoritmo a chiave simmetrica dove la chiave potrebbe essere determinata o da una password/passphrase (chiesta in input) o derivata da caratteristiche sw/hw del sistema.

Ovviamente la sicurezza assoluta non esiste ...

[magic_key]

se non è possibile e/o non pratico, allora ad esempio salvarli da qualche parte sul file-system (magari in una locazione non proprio palese ed evidente), in forma criptata usando le API della Security di Java, con un algoritmo a chiave simmetrica dove la chiave potrebbe essere determinata o da una password/passphrase (chiesta in input) o derivata da caratteristiche sw/hw del sistema.

Non mi riferisco ad un sistema di login, bensì all username e password miei per accedere al mio database MySql. L'accesso al programma JAVA è libero, ma per prelevare le informazioni dal database occorre specificare questi user e pass e non vorrei che finiscano in mani poco affidabili...

Comunque forse sbaglio il concetto: invece di prelevare i dati dal database direttamente, converrebbe più inviare una richiesta al database tramite Ajax/PHP, in modo che questi dati di accesso al db restano sul server..

mmh devo studiarmela