Sikkerhed i app kørende lokalt

hvis du skriver database passwordet i koden (d.v.s. at det ikke skal indtastes
af brugen) så kan alle der får applikationen se det med minimal indsats

hvis det er OK eller hvis password skal indtastes af brugeren hver gang
så er det vel ikke mere usikkert end de fleste andre post programmer

mange web hoteller tillader ikke direkte adgang til database udefra

og hvis det er et firma tror jeg godt at du kan regne med at jeres
firewall administrator nedlægger veto

Database password og username kommer til at stå direkte i koden, altså noget i retning af Connection con = driverManager.getConnection(jdbc:mysql,"pass","user");, det mener jeg er et sikkerhedsproblem

ja - alle som får app kan nemt finde det

Hvad hvis man lavede en exstra tabel, der var identisk med login tabellen, og kun dem der blev autoriserede brugere,  ville få forbindelses strengen, fra databasen, altså at jdbc:mysql,"pass","user" bliver tildelt ved runtime

denne exstra tabel skulle ligger på en helt anden database

jeg kan ikke umiddelbart se at du det skulle gøre det bedre

kan man ikke bare connecte til den tabel og hente og så connecte igen efter at man har
decompilet applikationen ?

Det forstår jeg ikke helt, gider du at uddybe det ?

kan man ikke bare connecte til den tabel og hente og så connecte igen efter at man har
decompilet applikationen ?

Kunne man ikke ligge database connection stregen i en krypteret fil

java kan decompiles så baser din sikkerhed på at brugerne af applikationen
kender source koden

en anden tabel eller noget krypteret storage hjælper ikke fordi
folk kan se hvordan de henter det rigtige brugernavn/password
ud af den andel tabel eller krypteret storage

java kan decompiles så baser din sikkerhed på at brugerne af applikationen
kender source koden: hvordan går man det ?

gør

du skal designe din sikkerhed udfra en forudsætning om at brugerne på 5 sekunder
kan decompile din applikation og læse hvad man gør

løsningerne er f.eks. individuelle password og lade brugerne indtaste password
eller en client server løsning hvor serveren tilgår databasen og brugerne har
ikke adgang til server applikationen

er stadig ikke helt med

Kan du gi et link til noget info

om hvad ?

decompilering ?

prompt og brug af password ?

client server løsning ?

prompt og brug af password ? kan vi starte med den, når du mener password er det så i database strengen

decompilering ? er det ikke hvor man oversætte class filen tilbage til en java-fil, isåfald kan jeg ikke se hvordan det skulle være en løsning

decompilering er ikke en løsning - det er problemet !

oki så er vi enige om det så

det jeg mener med prompt og brug af password er at du opretter alle brugerne
i databasen med forskellige passwords, og så lader du programmet ved opstart
spørge efter password  (og brugernavn hvis du ikke bare bruger deres login)
og det gemmer du så og bruger til at lave alle database connections med

oki, men den løsning kræver at Mysql serveren skal have alle brugerene med, 1 bruger i databasen per bruger

ja

med en client server løsning så kan du nøjes med en database bruger som ligger i
server koden som alle brugerne så ikke har adgang til

ok, Arne giv med clien server løsningen, lyder som det smarteste

så skal du jo vælge:

java client app-----(RMI)-----java server app

java client app-----(socket)-----java server app

java client app-----(SOAP/HTTP)-----java web service hosted i servlet container

java client app-----(HTTP)-----java web app (JSP/servlet) hosted i servlet container

det er en iss server jeg skal komunnikere med

java client app-----(HTTP)-----ASP måske så

danm kunne godt bruge noget kode eller et link

jeg tror kun at jeg har applet----ASP men jeg poster lige det

import java.awt.*;
import java.awt.event.*;
import java.applet.*;
import java.io.*;
import java.net.*;

public class DatabaseApplet extends Applet implements ActionListener {
    TextArea select = new TextArea();
    TextField f1 = new TextField();
    TextField f2 = new TextField();
    Button insert = new Button();
    public void init() {
        select.setColumns(40);
        select.setRows(20);
        select.setText(select());
        f1.setColumns(10);
        f2.setColumns(20);
        insert.setLabel("Add");
        insert.addActionListener(this);
        add(select, null);
        add(f1, null);
        add(f2, null);
        add(insert, null);
        setVisible(true);
    }
    public void actionPerformed(ActionEvent ev) {
        insert(f1.getText(), f2.getText());
        select.setText(select());
        repaint();
    }
    private String select() {
        StringBuffer res = new StringBuffer("");
        try {
            URL url = new URL("http://localhost/select.asp");
            HttpURLConnection con = (HttpURLConnection) url.openConnection();
            con.setRequestMethod("GET");
            con.connect();
            if (con.getResponseCode() == HttpURLConnection.HTTP_OK) {
                BufferedReader br = new BufferedReader(new InputStreamReader(con.getInputStream()));
                String line;
                while ( (line = br.readLine()) != null) {
                    res.append(line);
                    res.append("\r\n");
                }
                con.disconnect();
            }
        } catch (IOException ex) {
            ex.printStackTrace();
        }
        return res.toString();
    }
    private void insert(String f1, String f2) {
        try {
            URL url = new URL("http://localhost/insert.asp");
            HttpURLConnection con = (HttpURLConnection) url.openConnection();
            con.setRequestMethod("POST");
            String info = "F1=" + f1 + "&F2=" + f2;
            con.setDoOutput(true);
            con.getOutputStream().write(info.getBytes());
            con.connect();
            if (con.getResponseCode() != HttpURLConnection.HTTP_OK) {
                System.err.println("POST failed");
            }
            con.disconnect();
        } catch (IOException ex) {
            ex.printStackTrace();
        }
    }
}

<%
Set con = Server.CreateObject("ADODB.Connection")
con.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=D:\Database\MSAccess\Test.mdb;User Id=admin;Password=;"
Set rs = Server.CreateObject("ADODB.Recordset")
rs.Open "SELECT * FROM T1",con
Do While Not rs.EOF
%>
<%=rs("F1")%> <%=rs("F2")%><br>
<%
rs.MoveNext
Loop
Set rs = Nothing
Set con = Nothing
%>

<%
Set con = Server.CreateObject("ADODB.Connection")
con.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=D:\Database\MSAccess\Test.mdb;User Id=admin;Password=;"
con.Execute "INSERT INTO T1(F1,F2) VALUES(" & Request.Form("F1") & ",'" & Request.Form("F2") & "')"
Set con = Nothing
%>

smid et svar

ok