Discussion :

[wilsontree]

Bonjour,

en lisant le contenu du jnlp, on voit quel est le jar de l'application, donc on peut facilement le télécharger, ce qui me semble poser problème :

J'ai une appli qui accède à une base de données. Pour mes applis classique, j'ai un fichier properties qui contient url du serveur bdd, nom de base, user et mot de passe (mysql par exemple). Si je fais pareil pour mon appli JWS, tout utilisateur qui télécharge puis extrait le jar connaîtra toutes ces données... Je suppose donc que ma façon de faire n'est pas la bonne.

Mettre ces données de connexion dans un source java puis utiliser l'obfuscation pourrait résoudre mon problème, mais j'ai toujours pensé que mettre ces données dans le code n'était pas très propre. Alors, comment faire ?

Une autre question : mon appli accède à un serveur de bdd, donc doit être signée, tout comme mon driver mysql je pense. J'ai trouvé la solution de signer moi-même Connector/J mais c'est sans doute pas la bonne solution. mais je n'ai pas trouvé de version du Connector signée par mysql. Commet faire ?

Merci pour vos réponses.

[Guldear]

Bonjour,

je ne m'y connais pas particulièrement en sécurité mais je pense que quelqu'un de vraiment décidé pourra toujours contourner les protections (en scrutant les échanges client/serveur, en décompilant le code, etc...), l'objectif est juste de ne pas lui mâcher le travail.

Plusieurs solutions sont possibles :
- les informations sont "cryptées" et stockées dans un fichier de propriétés, le décryptage (qui peut être maison) étant intégré dans le code.
- les informations sont stockées (voire disséminées) dans le code. Ça peut fait sale mais c'est toujours moins évident à retrouver.
- les informations sont obtenues du serveur directement, via une connexion. (Ici, on ouvre le champ des questions sur la sécurisation des échanges réseau)
- les autres solutions (probablement nombreuses)
Dans tous les cas, effectivement, l'obfuscation ne facilitera pas la tâche des curieux.

Pour la deuxième question je crois effectivement que resigner les jars est la solution.

J'espère que ça peut aider.

[gronono]

Bonjour,

Tu peux aussi changer d'architecture. Au lieu que ton client interroge directement ta base de données, tu peux ajouter un serveur entre les deux.
Ton client interroge le serveur qui interroge la base de données.
Donc seul le serveur à besoin des informations de connexion à base.

Tu peux en plus déporter les traitements métiers vers le serveur. Ainsi le client fait uniquement de l'affichage.

A+
Gronono