Discussion :

[Trankille]

Bonjour, j'aimerais avoir une précision quant à la phrase suivante:

Sceller les packages pour éviter que des classes malveillantes puissent se déclarer membre du package et ainsi gagner une meilleure visibilité sur les membres (déclarés protected ou (package)) des classes du package

Ce que je voudrais savoir c'est comment une classe peut se déclarer membre d'un package ?

Merci

[Logan Mauzaize]

Tu crées une classe avec la même package ;-)

[tchize_]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
package com.company.software; // membre du package com.company.software
 
public class MyClass { .....

[Trankille]

ha d'accord.. je pensais ça plus complexe que ça ne l'est
En lisant la phrase, je pensais que ça pouvait se faire "automatiquement"

merci

[Trankille]

En fait on a du mal se comprendre...
(ou alors j'ai aps compris ce que vous vouliez dire)

Je ne cherche pas à savoir comment on fait (le dév) à rendre une classe membre d'un package. ce que je cherche à comprendre c'est l'histoire de sceller un package car des classes malveillantes peuvent se déclarer membre du package (pour entre autre avoir accès à des données non autorisées)

questions idiotes (sorry):
une classe peut se rendre elle même membre d'un package ?
l'histoire de sceller un package, c'est en fait signer ce package ? (sealed=True)
et si on scelle un package, comment fait on (le dév) pour introduire une nouvelle classe dans le package?

edit: en fait c'est juste que dans ce cas sceller veut dire signer. et donc tout ce que je viens de dire est une véritable hérésie..
ça sert juste pour empêcher des modifs avant le chargement (intégrité du package) c'est ça ?

[tchize_]

tu peux avoir plusieurs jar, chacun ayant des classe de type com.company.xyz

Le fait qu'un classe "se déclare" d'un package, on entends bien ça dans le sens "a la compilation". Le bute est déviter que quelqu'un prenne ton application, y ajouter un jar contenant des classes supplémentaire destinées à accèder aux champs protégés de tes classes. Dans ce cas on scelle le package, ce qui aura pour effet que si deux jars dans le classpath présentent des classes de ce packages, il y aura exception et refus de fonctionner.


En pratique c'est pas très utile, si j'ai envie d'injecter des classes pour détourner ton application, la première chose que je vais faire c'est désceller ton jar comme ça, hop, plus de vérification

[Robin56]

En pratique c'est pas très utile, si j'ai envie d'injecter des classes pour détourner ton application, la première chose que je vais faire c'est désceller ton jar comme ça, hop, plus de vérification

Et ça se traduit comment concrètement un scellement/déscellement de JAR ?

[tchize_]

c'est juste des information dans le MANIFEST.MF, donc j'ai jute à ouvrir le jar avec winzip, retirer les informations de scellement et hop, on dirait un jar "tout bete"

[Logan Mauzaize]

Sauf si ton application n'accepte pas les jar non signés avec un certificat donné ;-)

[Trankille]

merci pour les réponses claires

Nemek: je peux trouver comment faire (ton dernier commentaire) dans la FAQ ou dans un tuto ?

[Logan Mauzaize]

Je sais que c'est possible mais comment, je ne sais pas.

Un petit tour sur la documentation officielle pour commencer

EDIT : encore mieux

[Trankille]

Merci beaucoup !!