Discussion :

[greg08]

Bonjour à tous,

Dans mon application JAVA, je souhaite permettre à des utilisateurs de télécharger des fichiers via un site web que je gère. La sécurité web n'étant jamais parfaite, je souhaite vérifier que le fichier que je lis dans mon application est bien le fichier que j'ai créé au départ. Y-a-t-il quelque chose de spécifique en JAVA ? A la limite je voudrai que l'application se vérifie elle-même pour savoir si elle n'est pas corrompue ... Bref, je voudrai être certain avant de lancer l'application qu'aucun fichier ne soit piraté. Est-ce possible ?


Bien cordialement
Greg

[dinobogan]

Par piraté, je suppose que tu veux dire modification des binaires Java de ton application ?

[Invité]

Salut,
Plusieurs mots clef pour ton problème : "signature de jar" pour ton appli, pour les fichiers téléchargés "md5" est "sha", en général, "fonctions de hashage", c'est souvent effectué. Renseigne toi dans ce sens, ensuite tu télécharges le fichier et tu caclules son hash, et tu compares avec la valeur de hash du même fichier posé sur le server. Si tu as des difficultés avec les fonctions crypto de java, le forum sécurité pourra te renseigner

[Uther]

En thérorie il n'y a rien à faire en ce qui concerne le programme. La JVM fait une vérification des programmes quelle lance.

Pour ce qui est de vérifier la validité des données téléchargées, il te faudra compareer le résultat du hash de se qui a été téléchargé. Pour cela il y a java.security.MessageDigest

[Invité]

En thérorie il n'y a rien à faire en ce qui concerne le programme. La JVM fait une vérification des programmes quelle lance.

Si tu signes le jar de ton appli, tu peux vérifier que chaque classe de ce jar est bien une classe venant de toi, et pas une qui a été remplacée par une tierce personne dans le but avoué de nuire

[Uther]

Oui mais en même temps si l'autre partie ne connait pas ta signature, je crois pas que ça avance à grand chose.

[Invité]

Oui mais en même temps si l'autre partie ne connait pas ta signature, je crois pas que ça avance à grand chose.

Oui mais bon avec les certificats qui signent, on peut récupérer la clef publique et vérifier la signature. C'est l'intérêt de la chose.

Cela dit, ce procédé est destiné aux applets plutôt et si tu veux assurer que ton appli est bien ta version, tu peux calculer le hash de ton jar, et le donner pour bien vérifier s'il est égal ensuite à celui calculé par le client. Sinon je vois pas trop comment tu peux assurer que ton appli est bien la tienne non modifiée.