[JAVA] Java è decompilabile, rischio tutto?

[pireda]

Vorrei sapere come potrei proteggere un'applicazione Java che presto sarà scaricabile gratuitamente da internet. Mi da molto fastidio sapere che chiunque può decompilarsela e modificarla per utilizzarla a suo piacere.
Vorrei sapere in particolare se esiste qualche tool di criptazione del codice visto tra l'altro che nell'applicazione saranno presenti i dati per effettuare una connessione FTP sul mio server.

[LeleFT]

Mi spiace, ma il bytecode non è criptabile... altrimenti la JVM come fa ad interpretarlo?
Diciamo, però, che se il programma è distribuito sotto particolari licenze che vietino la decompilazione e la manipolazione del codice, chiunque non rispetti tale licenza è passibile di provvedimenti legislativi.

In pratica non puoi impedire la decompilazione in modo "fisico", ma lo puoi fare in modo legale.


Ciao.

[pireda]

Non è possibile nemmeno usare algoritmi come MD5 almeno per proteggere i dati più pericolosi?

[LeleFT]

Se non hai necessità di portabilità del tuo programma su S.O. differenti, puoi sempre utilizzare i metodi nativi (per esempio, per l'algoritmo MD5): sono dei metodi che prendono la loro implementazione da librerie esterne compilate (come, per esempio, una DLL).
In questo modo puoi far sì che i dati più sensibili vengano criptati e che il tuo programma, per poterli utilizzare, si basi su un metodo nativo per la decriptazione.

Io, personalmente, non ho mai fatto uso di metodi nativi perchè non ne ho mai sentito l'esigienza né ho mai avuto la possibilità di utilizzarli, ma so che esistono (vengono usati anche dalle classi stesse del JDK), però per maggiori informazioni io non ti so aiutare (magari qualcun altro in questo forum ha già avuto a che fare con essi).


Ciao.

[giuseppe500]

scusa lele, e per la portabilità si possono creare pacchetti diversi :in windows si usano le dll, in mac purtroppo non lo so,cosi' come in linux e cosi' via?
grazie.

[dekdek]

Tieni presente che il caricamento dei moduli nativi va fatto esternamente a Java.
In pratica, crei una classe che incapsuli le funzioni che vuuoi richiamare dall'esterno, segnando i metodi con la parola chiave native.
Quindi compili con javac e crei un header file con javah, dopodiche tutto dipende dal linguaggio che vuoi utilizzare per implementare il codice nativo.

[netarrow]

MD5 in Java lo puoi usare usando java.security

[giuseppe500]

scusate,ma cos'è md5?

[netarrow]

Originariamente inviato da giuseppe500
scusate,ma cos'è md5?

un algoritmo d'impronta di messaggio, ogni stringa in entrata all'algoritmo darà una stringa in uscita univoca per la stringa data.
Non è possibile tornare indietro dal risultato al sorgente; serve essenzialmente per fare due cose:

1) Controllare l'integrità dei dati(anche un semplice spazio in + o in meno al sorgente modifica TUTTA l'impronta)
2) Salvare dati in modo sicuro e confrontarli con dati immesi a run-time, ad esempio se hai una password "ciao" salvi l'impronta di ciao e quando viene inserito a run time la pass viene ricalcolata l'impronta e confrontata con quella vecchia.

In questo modo è molto più sicuro che salvare la lassword "ciao" in chiaro, senò la si vedrebbe subito.

E' aggirabile solo con un bruteforce, ma tramite i salt e le interazioni è un algoritmo molto sicuro e usato, come concorrente ha SHA-1, ma c'è una leggenda che dice che per lui ci sia un algoritmo di ritorno... bhà....

[kuarl]

da quanto ne so' esistono molti decompilatori di bytecode che funzionano troppo bene, ma esistono anche molti "offuscatori di codice", questi programmi prendono in pasto il tuo programma compilato normalmente, e lo ricompilano, sempre in bytecode, ma stravolgendo il codice in modo da confondere il decompilatore e rendere impossibile da leggere il listato decompilato

sono tutti programmi commerciali anche abbastanza costosi, non me ne viene in mente nessuno ma se fai una ricerca su google magari trovi qualcosa