Applet de transfert de fichier + Sécuriser mot de passe
1 réponse
Simon OUALID
Bonjour,
Nous avons du développer récemment un petit applet pour le transfert de
gros fichiers via FTP depuis les postes clients (trop lourd pour du
multipart). Et on se demande comment sécuriser le mot de passe du
serveur au sein de l'applet.
Actuellement, on a choisi d'obfusquer le code de l'applet et de faire en
sorte qu'il récupère le mot de passe chiffré en http sur un servlet...
Mais ça ne me satisfait pas totalement : il est toujours possible de
retrouver l'adresse (elle aussi chiffrée) dans le code, de la
déchiffrer, de se connecter en telnet, de récupérer le mot de passe
chiffré, et de trouver le mécanisme de déchiffrage dans le bytecode
obfusqué.
On souhaite éviter à l'utilisateur de saisir le mot de passe, même si ça
semble être la meilleure solution actuellement.
Y aurait il un outil du JRE qui pourrait nous servir ? Quelque chose
comme des fichiers properties chiffrés peut être ? Mais dans ce cas,
comment sécuriser les clefs de chiffrages ?
Le but est qu'un petit malin qui récupère le JAR ne soit pas en mesure
de se connecter au FTP.
Merci pour votre aide, ce domaine est loin d'être ma spécialité. :p
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Bertrand B
Bonjour,
Nous avons du développer récemment un petit applet pour le transfer t de gros fichiers via FTP depuis les postes clients (trop lourd pour du multipart). Et on se demande comment sécuriser le mot de passe du serveur au sein de l'applet.
Actuellement, on a choisi d'obfusquer le code de l'applet et de faire e n sorte qu'il récupère le mot de passe chiffré en http sur un servl et...
Mais ça ne me satisfait pas totalement : il est toujours possible de retrouver l'adresse (elle aussi chiffrée) dans le code, de la déchiffrer, de se connecter en telnet, de récupérer le mot de pas se chiffré, et de trouver le mécanisme de déchiffrage dans le byteco de obfusqué.
On souhaite éviter à l'utilisateur de saisir le mot de passe, mêm e si ça semble être la meilleure solution actuellement.
Y aurait il un outil du JRE qui pourrait nous servir ? Quelque chose comme des fichiers properties chiffrés peut être ? Mais dans ce cas , comment sécuriser les clefs de chiffrages ?
Le but est qu'un petit malin qui récupère le JAR ne soit pas en mes ure de se connecter au FTP.
Merci pour votre aide, ce domaine est loin d'être ma spécialité. :p
Symon
C'est bête j'aimerais bien récupérer une applet comme ça (avé l e source).
Comme je suppose qu'il a fallu s'identifier pour arriver à la page proposant le téléchargement 2 pistes : - Utiliser un compte sur le serveur ftp dont le mot de passe change tous les jours - Baser le cryptage du mot de passe renvoyé par http sur des informations de session (par exemple adresse ip,jour)
Bonjour,
Nous avons du développer récemment un petit applet pour le transfer t de
gros fichiers via FTP depuis les postes clients (trop lourd pour du
multipart). Et on se demande comment sécuriser le mot de passe du
serveur au sein de l'applet.
Actuellement, on a choisi d'obfusquer le code de l'applet et de faire e n
sorte qu'il récupère le mot de passe chiffré en http sur un servl et...
Mais ça ne me satisfait pas totalement : il est toujours possible de
retrouver l'adresse (elle aussi chiffrée) dans le code, de la
déchiffrer, de se connecter en telnet, de récupérer le mot de pas se
chiffré, et de trouver le mécanisme de déchiffrage dans le byteco de
obfusqué.
On souhaite éviter à l'utilisateur de saisir le mot de passe, mêm e si ça
semble être la meilleure solution actuellement.
Y aurait il un outil du JRE qui pourrait nous servir ? Quelque chose
comme des fichiers properties chiffrés peut être ? Mais dans ce cas ,
comment sécuriser les clefs de chiffrages ?
Le but est qu'un petit malin qui récupère le JAR ne soit pas en mes ure
de se connecter au FTP.
Merci pour votre aide, ce domaine est loin d'être ma spécialité. :p
Symon
C'est bête j'aimerais bien récupérer une applet comme ça (avé l e source).
Comme je suppose qu'il a fallu s'identifier pour arriver à la page
proposant le téléchargement 2 pistes :
- Utiliser un compte sur le serveur ftp dont le mot de passe change tous
les jours
- Baser le cryptage du mot de passe renvoyé par http sur des
informations de session (par exemple adresse ip,jour)
Nous avons du développer récemment un petit applet pour le transfer t de gros fichiers via FTP depuis les postes clients (trop lourd pour du multipart). Et on se demande comment sécuriser le mot de passe du serveur au sein de l'applet.
Actuellement, on a choisi d'obfusquer le code de l'applet et de faire e n sorte qu'il récupère le mot de passe chiffré en http sur un servl et...
Mais ça ne me satisfait pas totalement : il est toujours possible de retrouver l'adresse (elle aussi chiffrée) dans le code, de la déchiffrer, de se connecter en telnet, de récupérer le mot de pas se chiffré, et de trouver le mécanisme de déchiffrage dans le byteco de obfusqué.
On souhaite éviter à l'utilisateur de saisir le mot de passe, mêm e si ça semble être la meilleure solution actuellement.
Y aurait il un outil du JRE qui pourrait nous servir ? Quelque chose comme des fichiers properties chiffrés peut être ? Mais dans ce cas , comment sécuriser les clefs de chiffrages ?
Le but est qu'un petit malin qui récupère le JAR ne soit pas en mes ure de se connecter au FTP.
Merci pour votre aide, ce domaine est loin d'être ma spécialité. :p
Symon
C'est bête j'aimerais bien récupérer une applet comme ça (avé l e source).
Comme je suppose qu'il a fallu s'identifier pour arriver à la page proposant le téléchargement 2 pistes : - Utiliser un compte sur le serveur ftp dont le mot de passe change tous les jours - Baser le cryptage du mot de passe renvoyé par http sur des informations de session (par exemple adresse ip,jour)
