Dekompilace .jar

perceptron

Re:Dekompilace .jar
« Odpověď #15 kdy: 05. 11. 2014, 23:16:33 »
wtf je to za architekturu... aha jednoducha aplikacia

staci postavit proxy jdbc driver (je ich asi stodesat) a uz vidiet dopyty a skoro urcite aj loginy / hesla

ak nie, tak ako radil predrecnik, bootne sa wireshark a obfuskacia je v zadeke

a v tomto rezime je radost s firewallmi a portami (mysql 3306) je bonusom



H7

Re:Dekompilace .jar
« Odpověď #16 kdy: 06. 11. 2014, 00:23:04 »
Tak tak, pokud je třeba zabránit přístupu do DB, tak buď je třeba přistupovat přes nějaký aplikační server, který bude jediný mít přístup DB (resp. ti klientské programy mít přístup nebudou) a klientské programy budou komunikovat jen s tím aplikačním serverem. Ten pak ověřuje veškeré přístupy a např. uživateli nedovolí vylistovat hesla všech uživatelů. Omezení bych rozhodně doporučoval dělat whitelistem, tedy povolit jen to, co je potřeba - neboli implementovat metody, které budou dělat to, co klient potřebuje. A nebo tuto aplikační logiku nacpat přímo DB (což bych osobně ve většině případů moc nedoporučoval - zvláště v případě, že nejde o nějakou vnitropodnikovou aplikaci, kde jsou uživatelé pod kontrolou).

V opačném případě je hacking hodně snadný. Pak samozřejmě záleží na tom:
- jaké náklady jsou potřeba pro rozumné zabezpečení (je nesmysl investovat milion Kč do zabezpečení, když hrozí max. škoda 100 Kč)
- jakou motivaci mají uživatelé něco hackovat (čím větší prospěch z toho bude mít, tím víc se bude snažit)
- co hrozí v případě, že to někdo hackne (když získá max. např. tajenku křížovky, tak se asi toho zase tak moc neděje)

Na znalostech uživatelů moc nezáleží, protože spousta lidí minimálně zná někoho, kdo to zvládne levou zadní a poradí, jak na to. Případně se poptá někde na webovém fóru.

Jediná výjimka by byla, pokud by uživatel neměl plný přístup k počítači, kde běží ta klientská aplikace. Tak by se hackingu dalo tak nějak bránit, ale stejně by to představovalo velké riziko.

_pepak

Re:Dekompilace .jar
« Odpověď #17 kdy: 06. 11. 2014, 08:27:30 »
Nehci aby uzivatele zbytecne zkouseli hrabat na DB...
Tak se zaměř na řešení skutečného problému, to jest "zabránit uživatelům v hrabání do DB", a ne na pseudoproblém, který stejně v Javě moc dobře vyřešit nejde. Mohl bys třeba zvážit to, že tvůj uživatel nemá v databázi žádná práva na tabulky, jen práva na uložené procedury, které uvnitř udělají skutečnou práci. Pak si může uživatel do DB hrabat jak chce, a přesto změny, které jsi mu neumožnil, neudělá.