User-Kennung im Source hinterlegen?

[Tokka]

Hallo zusammen!

Ich nutze bei meiner Java Anwendung (Application) eine Datenbank. Für die Verbindung zur Datenbank gibt es einen speziellen Benutzer, denn ich gern im Programm mit Benuztername & Passwort hinterlegen möchte.

Dabei ergibt sich aus meiner Sicht heraus ein Sicherheitsproblem, da eine Komplette Kennung im Quellcode steht.

Daher habe ich die Frage, ob ich die Daten irgend wie verschlüsseln kann, oder ob Ihr ggf eine bessere Idee habt, wie man das ganze machen sollte.


Vielen Dank

Gruß

Tokka


PS:

Hier kurz die Rahmenbedingungen, die ich hier habe:
Eclipse 3.2
Java 1.5
_kein_ Applicationserver
MS-SQL Server 2005

 

[Der_Unwissende]

Hi,
natürlich kannst du die Daten verschlüsseln (in Frage kommt dafür jeder gängige Algorithmus). Das Problem verschiebst du damit aber nur. Irgendwo in deinem Code muss der Name ja wieder entschlüsselt werden. Ich meine wenn jmd. deine Quellen direkt liest, er sieht nur das Verschlüsselte.
Wenn er sich jetzt die Methode anschaut die es wieder entschlüsselt...
Natürlich kannst du auch einfach einen Dissassembler nehmen. Der Java-Assembler (wie auch immer der richtig heißt) ist auch noch gut genug Lesbar für Experten. Die können dann mit etwas mehr Aufwand ganz einfach wieder an das Kenntwort kommen.
Die Frage ist halt, wer kommt an welchen Teil deines Programms ran?

[Edit]Ach ja, vergessen zu sagen, bei Sicherheitsfragen musst du immer davon ausgehen, dass deine Lösung nicht sicher ist. Der Aufwand ist nur unterschiedlich hoch! Eine der sichersten Möglichkeiten ist es, dass dein Benutzer noch selbst die Authentifizierung vornehmen muss.
[/Edit]

 

[SlaterB]

Ansonsten könnte man noch das Programm im unklaren lassen wie das DB-Passwort bzw. das Passwort, um das DB-Passwort zu entschlüsseln, lautet.

Müsste dann in einer separaten Datei bereit liegen/ von anderer Stelle abrufbar sein (z.B. Internet) oder bei jedem Programmstart/ im laufenden Betrieb eingegeben werden.

Aber das wohl gerade das was du vorher hattest und ersetzen willst?

 

[Tokka]

Danke für die beiden Antworten!

in Absprache mit der Abteilung, haben wir uns nun aufgrund der Sicherheit durchgesetzt und nutzen den Windows-Login zur Datenbank. Damit habe ich das "Problem" umschifft


Gruß
Tokka

 

[sparrow]

Mit dem Problem beschäftige ich mich seit 3 Jahren, und es gibt keine wirklich sichere Lösung.

Das mit dem Windows-Login ist eine Möglichkeit. Du kannst auch unter Java den aktuellen Benutzer des Systems problemlos über die Sysprobs auslesen.

Am geschicktesten und sichersten wäre es jedoch die Rechteverteilung der Datenbank einfach in der Datenbank zu machen. Du pflegst also die Benutzer da, baust dort das Rechtesystem auf (welcher User darf was lesen, darf wo schreiben, etc.).
Wenn du dann ein FrontEnd für die Datenbank in Java baust fragt du User und Passwort ab, der Benutzer gibt sie ein und das Frontend versucht mit diesen Daten mit der Daenbank zu verbinden.

Hat viele Vorteile.


Gruß
Sparrow