私は最近、Javaを使用してデータベースに接続する個人プロジェクトに取り組み始めました。これは私に考えさせられました。データベースにアクセスするには、DBサーバー上のデータベースアカウントのログイン情報を提供する必要があります。しかし、私がそれをハードコーディングすると、誰かがプログラムを逆コンパイルしてそのログイン情報を抽出する可能性があります。外部のセットアップファイルに保存すると、同じ問題が発生するだけで、簡単に入手できます。どちらかの場所に保存する前にデータを暗号化することもできましたが、それも実際にはフェールセーフではないようで、暗号化の専門家ではありません。それでは、プログラムの機密セットアップデータを保存するためのいくつかのベストプラクティスは何ですか?
回答:
ここにいくつかのオプション:
データベースへのアクセスが許可されているドメインユーザーの下でJavaプログラムを実行します(または、プログラムを実行しているユーザーだけがアクセスできるファイルにパスワード情報を保存します)。
キーストアを使用します。ユーザーと、キーを使用するソフトウェア(Mac OS Xが提供するものなど)の両方に制限があります。
プログラムの起動時に暗号化パスワードの入力を必要とするインターフェイスを備えた標準の暗号化ソリューションを使用します(プログラムを起動する管理者はパスワードのみを知っているため)
プログラムの起動時にデータベースのuid /パスワードを入力する必要があります
機密データの保存に関する最初のルールはそうではありません。この場合、ほぼすべての認証システムが行うことを実行する必要があります-この問題が発生しないように、各ユーザーに独自の資格情報を発行します。または、「ああ、スナップ、データベースアカウントが危険にさらされました。今度は、すべてのユーザーにこのパスワードを再発行する方法を知らなければなりません。知らないものも含めます。」
逆コンパイルできないようにアプリケーションを暗号化する必要があります。私はJavaツールを知りませんが、確かに存在します。
ちなみに、安全のために常にアプリケーションを暗号化する必要があります!その後、必要に応じてハードコードできます。
編集:コメントに続いて、私はあなたがアプリケーションを暗号化できることを正確にします、暗号化されたアプリを実行するためにユーザーのマシンにツール(一種の「オンザフライ」解読器)が必要です。これは私がFoxproで使用したもので、おそらく他の言語にも存在します。たぶん、そのようなツールは最近のテクノロジーでは使用されていないかもしれませんが、実行中にアプリを逆コンパイルできないことは間違いありません。
編集2:.NET暗号化用に見つけた製品:http : //www.hallogram.com/ezcryptonet/index.html