Discussion :

[greg08]

Bonjour à tous,

Dans mon application JAVA, je souhaite permettre à des utilisateurs de télécharger des fichiers via un site web que je gère. La sécurité web n'étant jamais parfaite, je souhaite vérifier que le fichier que je lis dans mon application est bien le fichier que j'ai créé au départ. Y-a-t-il quelque chose de spécifique en JAVA ? A la limite je voudrai que l'application se vérifie elle-même pour savoir si elle n'est pas corrompue ... Bref, je voudrai être certain avant de lancer l'application qu'aucun fichier ne soit piraté. Est-ce possible ?


Bien cordialement
Greg

[dinobogan]

Par piraté, je suppose que tu veux dire modification des binaires Java de ton application ?

[Invité]

Salut,
Plusieurs mots clef pour ton problème : "signature de jar" pour ton appli, pour les fichiers téléchargés "md5" est "sha", en général, "fonctions de hashage", c'est souvent effectué. Renseigne toi dans ce sens, ensuite tu télécharges le fichier et tu caclules son hash, et tu compares avec la valeur de hash du même fichier posé sur le server. Si tu as des difficultés avec les fonctions crypto de java, le forum sécurité pourra te renseigner

[Uther]

En thérorie il n'y a rien à faire en ce qui concerne le programme. La JVM fait une vérification des programmes quelle lance.

Pour ce qui est de vérifier la validité des données téléchargées, il te faudra compareer le résultat du hash de se qui a été téléchargé. Pour cela il y a java.security.MessageDigest

[Invité]

En thérorie il n'y a rien à faire en ce qui concerne le programme. La JVM fait une vérification des programmes quelle lance.

Si tu signes le jar de ton appli, tu peux vérifier que chaque classe de ce jar est bien une classe venant de toi, et pas une qui a été remplacée par une tierce personne dans le but avoué de nuire

[Uther]

Oui mais en même temps si l'autre partie ne connait pas ta signature, je crois pas que ça avance à grand chose.

[Invité]

Oui mais en même temps si l'autre partie ne connait pas ta signature, je crois pas que ça avance à grand chose.

Oui mais bon avec les certificats qui signent, on peut récupérer la clef publique et vérifier la signature. C'est l'intérêt de la chose.

Cela dit, ce procédé est destiné aux applets plutôt et si tu veux assurer que ton appli est bien ta version, tu peux calculer le hash de ton jar, et le donner pour bien vérifier s'il est égal ensuite à celui calculé par le client. Sinon je vois pas trop comment tu peux assurer que ton appli est bien la tienne non modifiée.

[adiGuba]

Salut,

Cela dit, ce procédé est destiné aux applets plutôt

C'est également valable pour les applications Java Web Start... et cela me semble tout à fait adapté à la situation. Non ?

a++

[Invité]

Salut,


C'est également valable pour les applications Java Web Start... et cela me semble tout à fait adapté à la situation. Non ?

a++

Il n'a pas précisé si son appli était une applet ou java web start, il veut juste télécharger des fichiers de ce que je comprends...

[adiGuba]

Je ne connais pas vraiment son fonctionnement, mais le package ava.security.cert semble fournir tout ce qu'il faut pour mettre en place un mécanisme similaire...

a++

[Invité]

En effet ca le fait, si on a les notions de cryptographie nécessaire, sinon c'est assez abscon... Mais bon y'a des bons tuto là dessus et pis si jamais greg08 a des problèmes, il peut demander ici

[greg08]

Merci pour toutes vos réponses !!

En fait, je veux vérifier le binaire de l'application qui sera un logiciel à part entière téléchargeable. Le client pourra télécharger des fichiers XML pour diverses fonctions et comme ce sera facile à pirater, je voudrai être certain que les fichiers soient bien ceux que j'ai déposé sur le site. Je me disais que si on pirate le logiciel et les fichiers téléchargés ça se complique, non ?

Je sais pas si je suis assez clair, en tout cas je vais regarder ce soir les différents liens

Encore merci, bonne soirée à tous

Greg