Discussion :

[srvremi]

Bonjour.

Voilà ma question : j'ai une application qui crée un objet Connection pour se connecter à une base de données mutualisée. Cette BD utilise un login et un mot de passe fixes.

Seulement voilà, les utilisateurs finaux ne connaissent pas ce mot de passe, et je ne veux pas qu'ils le connaissent.

Est-il possible de trouver un moyen pour le "crypter" pour qu'il ne puissent pas le lire en décompilant les binaires générés ?

Merci d'avance.
@+ Rémi

[g_rare]

Tes identifiants de connexion (login/password) se trouvent où : fichier de config XML d'une API de persistance ? constante Java ? fichier de propriété quelconque ?

[Razgriz]

Voilà ce que tu peux faire pour encrypter :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
 
import java.io.*;
public class Encryptor
{
    public Encryptor(int aKey)
    {
       key = aKey;
    }
 
    public void encryptFile(String inputFileName, String outputFileName) throws IOException
    {       
        InputStream in = null;
        OutputStream out = null;
        try
           {
              in = new FileInputStream(inputFileName);
              out = new FileOutputStream(outputFileName);
              encryptStream(in,out);
 
           }
       finally
           {
             if(in != null)
                in.close();
             if(out != null)       
                out.close();      
           }
    }
 
    public void encryptStream(InputStream in, OutputStream out) throws IOException
    {
        boolean done = false;
        while(!done)
           {
                int next = in.read();
                if(next == -1)
                   done = true;
               else
               {
                  byte b = (byte)next;
                  byte c = encrypt(b);
                  out.write(c);
               }
           }
    }
 
    public byte encrypt(byte b)
    {
         return (byte)(b + key);
    }    
 
    private int key;
}

Ca encrypte tout et n'importe quoi...

[le y@m's]

Ca encrypte tout et n'importe quoi...

et ça ce casse ... en 3s

Je ne suis pas sûr qu'un simple cryptage de césar soit la solution , regarde plutôt du coté du package javax.crypto

[g_rare]

Si jamais t'as DB est une Oracle (récente + entreprise), alors regarde du côté du "cryptage transparent" : http://leoanderson.developpez.com/se...oracle/#LV-B-2


...sinon tu peux "obfuscer" ton code si tes login/password sont en constantes Java ; dans les autres cas c'est les droits sur le fichier de config. (XML, properties) qui doivent être définis au minimum vital pour tout autre utilisateur que celui de l'application.

NB_ la crypto en Java se fait avec des <<JCE providers>> du type (SunJCE fourni par défaut ou Bouncy Castle en open-source) avec des algos 'standards' comme AES et RSA mais voir comment la base gère ses fonctions de déchiffrement car toutes n'en ont pas !

[Razgriz]

ouias ça se casse facilement mais c'est la base, c'est le premier encrypteur créé...

[srvremi]

Merci pour vos députs de réponse.

C'est stocké dans un fichier de config (hibernate.cfg.xml).
Le truc javax.crypto, vous avez de la doc ?

@+
Rémi

[le y@m's]

un lien que doit connaître tout developpeur Java : Javadoc

[billynirvana]

utilise le hachage MD5. Y a pas mieux!

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
import java.security.*;
 
 
 // GESTION MOT DE PASSE
 // Role: Prend en entree une chaine de caracteres et produit une nouvelle chaine cryptee.
 // Utilisation du hachage MD5 qui est un cryptage unidirectionnel.
 private String cryptPassword(String pass) {
  byte[] uniqueKey = pass.getBytes();
  byte[] hash = null;
  try {
   hash = MessageDigest.getInstance("MD5").digest(uniqueKey);
  }
  catch (Exception e) { // Il ne doit jamais avoir d'erreurs ici
   e.printStackTrace();
  }
  StringBuffer hashString = new StringBuffer();
  for (int i=0; i<hash.length; ++i ) {
   String hex = Integer.toHexString(hash[i]);
   if (hex.length() == 1) { 
    hashString.append('0');
    hashString.append(hex.charAt(hex.length()-1));
   }
   else {
    hashString.append(hex.substring(hex.length()-2));
   }
  }
  return hashString.toString();
 }

[remika]

C'est pareil, un MD5 c'est vite cracké avec John The Ripper...

[g_rare]

utilise le hachage MD5. Y a pas mieux!

Il existe des cryptanalyses (failles de sécurité) sur la fonction de hachage MD5 : utiliser plutôt SHA-1, voire SHA-256...

Sinon de toute façon il faut au moins qu'il chiffre son mot de passe avec une clé GARDEE SECRETE DANS LE CODE APPLICATIF pour que le moteur de la base déchiffre le tout ; sinon les utilisateurs pourront rejouer son mot de passe haché comme il le veulent sans même savoir que c'est un condensé cryptographique.

Bref le seul vrai moyen fiable et simple à mon sens est de n'accorder aucun droit aux utilisateurs sur le fichier "hibernate.cfg.xml" !!!

[Razgriz]

Je finis mes exams et je poste dans les pages libres un encrypteur de chaque type, César, AES et DSA, les deux derniers étant théoriquement incassables...