Hallo,
Passwörter werden als SHA1 Hash in einer DB abgespeichert. Architektur ist Swing -> JBoss Remoting -> EJB -> Hibernate -> MySQL. Aktuell wird das Passwort aus "Bequemlichkeitsgründen" mittels der MySQL SHA1() Function erst in MySQL in den Hash umgewandelt. Das ist mir etwas zu weit hinten, da man z.B. bei aktiver MySQL Protokollierung das ganze dann auch als Query-String mitloggen kann und so an Klartextpasswörter käme.
Die Verbindung via JBoss Remoting ist aktuell nicht SSL verschlüsselt (muesste man auch nochmal ueberlegen), daher schwebt mir vor, den Swing-Client bereits ein SHA1-Hash machen zu lassen und diesen dann weiter zu verarbeiten. Aber Client find ich halt auch nicht so optimal... ist ja eigentlich "Businesslogik" wie das Passwort gespeichert wird. Also doch besser SHA1 im EJB machen und dann Remoting mittels SSL?
Was wäre aus Eurer Sicht her architektonisch sinnvoll?
Passwörter werden als SHA1 Hash in einer DB abgespeichert. Architektur ist Swing -> JBoss Remoting -> EJB -> Hibernate -> MySQL. Aktuell wird das Passwort aus "Bequemlichkeitsgründen" mittels der MySQL SHA1() Function erst in MySQL in den Hash umgewandelt. Das ist mir etwas zu weit hinten, da man z.B. bei aktiver MySQL Protokollierung das ganze dann auch als Query-String mitloggen kann und so an Klartextpasswörter käme.
Die Verbindung via JBoss Remoting ist aktuell nicht SSL verschlüsselt (muesste man auch nochmal ueberlegen), daher schwebt mir vor, den Swing-Client bereits ein SHA1-Hash machen zu lassen und diesen dann weiter zu verarbeiten. Aber Client find ich halt auch nicht so optimal... ist ja eigentlich "Businesslogik" wie das Passwort gespeichert wird. Also doch besser SHA1 im EJB machen und dann Remoting mittels SSL?
Was wäre aus Eurer Sicht her architektonisch sinnvoll?
Zuletzt bearbeitet: