IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Membre du Club
    Profil pro
    Inscrit en
    janvier 2006
    Messages
    199
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2006
    Messages : 199
    Points : 66
    Points
    66
    Par défaut Sécurité pour application Desktop JAVA Swing / Hibernate + échanges mail
    Bonjour,

    je souhaiterais installer sur des tablettes une application Java / Hibernate ainsi qu'une base de données SQL.
    Les accès à l'application et à la base de données sont protégés par mot de passe : un pour l'accès à l'application, et un autre pour l'accès à la base de données.
    L'application installée sur la tablette peut aussi envoyer des mails.

    Je me pose 2 questions :

    1) l'application est un fichier JAR placé dans un répertoire avec d'autres fichiers de configuration, notamment un fichier db.properties qui gère les accès à la base de données (BDD). Dans ce fichier, le mot de passe de la BDD est crypté. Il est décrypté et utilisé par l'application lors de la connection à la base de données.
    Savez-vous s'il est possible à un utilisateur de pouvoir récupérer le mot de passe de la base de données ainsi utilisé ? Si oui, y-a-t-il une meilleure façon de faire pour protéger l'accès ?

    2) Idem pour l'envoi de mail, l'application utilise la librairie "com.sun.mail.smtp" où il est spécifié que les échanges SMTP utilise le protocole TLS, grâce à l'initialisation du paramètre "mail.smtp.starttls.enable" pour les échanges. Les identifiants du serveur de BDD (utilisateur / mot de passe) sont dans un fichier smtp.properties. Le mot de passe est crypté dans le fichier et décrypté dans l'application lors de son utilisation.
    De la même façon que l'accès à la base de données, pensez-vous qu'il est possible à un utilisateur de retrouver le mot de passe échangé ?
    Ou de mettre la main sur les données échangées ?

    Merci pour vos réponses, qui j'en suis sûr, me feront encore avancées
    Berni.

  2. #2
    Modérateur
    Avatar de wax78
    Homme Profil pro
    Chef programmeur
    Inscrit en
    août 2006
    Messages
    4 001
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chef programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2006
    Messages : 4 001
    Points : 7 824
    Points
    7 824
    Par défaut
    Salut,

    1) S'il decompile le code, la ou tu stocke ta clé de décryptage (je suppute) il y'a des chances qu'il puisse decrypter le mot de passe.

    2) Je dirai pareil.
    (Les "ça ne marche pas", même écrits sans faute(s), vous porteront discrédit ad vitam æternam et malheur pendant 7 ans)

    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  3. #3
    Membre du Club
    Profil pro
    Inscrit en
    janvier 2006
    Messages
    199
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2006
    Messages : 199
    Points : 66
    Points
    66
    Par défaut
    Et si j'obfusque le code et que je génère un .exe à la place du .jar ?
    Même si la sécurité n'est pas la meilleure au début, je souhaiterais protéger un minimum le logiciel.
    Que penses-tu de cette méthode ?

  4. #4
    Modérateur
    Avatar de wax78
    Homme Profil pro
    Chef programmeur
    Inscrit en
    août 2006
    Messages
    4 001
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chef programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2006
    Messages : 4 001
    Points : 7 824
    Points
    7 824
    Par défaut
    Elle découragera certains, certainement. Mais il y'a aussi d'autres vecteurs d'attaques possible qui ne sont pas du même ordre.
    (Les "ça ne marche pas", même écrits sans faute(s), vous porteront discrédit ad vitam æternam et malheur pendant 7 ans)

    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  5. #5
    Membre du Club
    Profil pro
    Inscrit en
    janvier 2006
    Messages
    199
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2006
    Messages : 199
    Points : 66
    Points
    66
    Par défaut
    Pourrais-tu m'en citer quelques-un stp ?
    J'ai aussi pensé à utiliser l'UUID qui permet de rendre unique chaque machine et qui, associé à chaque utilisateur, ne rend pas le logiciel exploitable sans la base de données qui l'accompagne.
    Connais-tu une ou deux astuces que je pourrais mettre en oeuvre pour renforcer la protection de la base de données ?

  6. #6
    Membre du Club
    Profil pro
    Inscrit en
    janvier 2006
    Messages
    199
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2006
    Messages : 199
    Points : 66
    Points
    66
    Par défaut
    Pas de piste ?

Discussions similaires

  1. Automatisation d'une application Windows (Java Swing)
    Par Lhogopi dans le forum VBScript
    Réponses: 2
    Dernier message: 12/04/2013, 08h11
  2. Tutoriels pour application Java avec Swing
    Par km200 dans le forum AWT/Swing
    Réponses: 2
    Dernier message: 24/06/2012, 15h18
  3. Réponses: 16
    Dernier message: 31/01/2012, 17h38
  4. Flex+Apollo ou Java+Swing pour le Desktop
    Par kedare dans le forum Autres langages
    Réponses: 3
    Dernier message: 03/08/2007, 14h19
  5. Chiffrage application web java jsp hibernate
    Par padraig29 dans le forum Devis
    Réponses: 1
    Dernier message: 20/11/2006, 15h07

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo