Ciao a tutti
Ho seguito la pillola riguardante il collegamento tra un programma java e il database mysql, ho fatto un applet che si collega al database del sito e fin qui funziona tutto.
La mia domanda è: è sicuro? è possibile che degli hacker riescano a rubare il nome utente e la password del database che sono dentro l'applet?
faccio questa domanda perchè non vorrei che l'applet creasse problemi di sicurezza al mio sito.
Ringrazio per l'aiuto.
se una cosa può andar male lo farà
Direi che se hai inserito nome utente e password all'interno dell'applet non è affatto sicuro.
Generalmente, applet che effettuano operazioni su DB sono in uso all'interno di reti aziendali (e non fruibili dall'esterno) oppure sono applet firmate che non memorizzano queste informazioni al loro interno, ma le pescano da un file di configurazione non accessibile.
Memorizzare queste informazioni all'interno dell'applet (specialmente se in chiaro, all'interno di una stringa) è molto pericoloso: considera che l'applet prima di essere eseguita viene scaricata all'interno del client. Chiunque, a questo punto, la può decompilare e leggerne il sorgente (certo, ci sono gli offuscatori, ma conosciamo anche i loro limiti...).
Ciao.
"Perchè spendere anche solo 5 dollari per un S.O., quando posso averne uno gratis e spendere quei 5 dollari per 5 bottiglie di birra?" [Jon "maddog" Hall]
Fatti non foste a viver come bruti, ma per seguir virtute e canoscenza
Se utente/password li hai messi come delle normali stringhe literal, certo è facilissimo, basta aprire il file .class che le contiene con un qualunque editor esadecimale.Originariamente inviato da giacomo986
è possibile che degli hacker riescano a rubare il nome utente e la password del database che sono dentro l'applet?
Andrea, andbin.dev – Senior Java developer – SCJP 5 (91%) • SCWCD 5 (94%)
java.util.function Interfaces Cheat Sheet — Java Versions Cheat Sheet
Quindi mi consigliate di fare in modo che l'applet legga nome utente e password dal file di configurazione del sito? (uso joomla)
se una cosa può andar male lo farà
Non è così semplice: ci sono delle cose che un'applet non può fare. E per poterle fare deve possedere una firma digitale. Se il DB risiede sulla stessa macchina da cui l'applet viene scaricata, non ci dovrebbero essere problemi.
Ora, poco importa che tipo di CMS hai usato (tra parentesi, Joomla è un CMS, non proprio un sito). Se l'applet utilizza un file che risiede sul server, questo file deve essere raggiungibile dal client (l'applet gira sempre sul client!!). Questo significa che chi scarica l'applet, la può decompilare e scoprire che essa prende le credenziali dal file "X" che risiede sul server alla posizione "Y"... chi gli impedisce di andarselo a prendere?
La questione è ostica...
Ciao.
"Perchè spendere anche solo 5 dollari per un S.O., quando posso averne uno gratis e spendere quei 5 dollari per 5 bottiglie di birra?" [Jon "maddog" Hall]
Fatti non foste a viver come bruti, ma per seguir virtute e canoscenza
Grazie mille per le delucidazioni...
Questa cosa però mi taglia le gambe.
è possibile fare un'applicazione java che funziona solo su server (con nome utente e password del database) e comunica con l'applet (senza nome utente e password del database)?
se una cosa può andar male lo farà
Quello che chiedi si implementa utilizzando Servlet e JSP oppure ASP, PHP, ecc (quindi tecnologia lato server). Solo che in questo caso devi assicurarti che il tuo fornitore di servizi hosting fornisca anche il supporto per queste tecnologie.
Ciao.
"Perchè spendere anche solo 5 dollari per un S.O., quando posso averne uno gratis e spendere quei 5 dollari per 5 bottiglie di birra?" [Jon "maddog" Hall]
Fatti non foste a viver come bruti, ma per seguir virtute e canoscenza
Grazie mille!
Provvederò ad informarmi e a studiare le soluzioni
Ciao a tutti.
se una cosa può andar male lo farà
Permessi di invio
Rispondi quotando