At 10:55 AM 5/15/2002 +0200, you wrote: >Bonjour, > >Ce matin, notre client nous a montr� le manque de s�curit� de notre >application. > >En effet, notre application ne peut se lancer sans d�verouillage par >login/mdp. Les �changes avec la base de donn�es sont m�mes crypt�s pour >�viter de voler le mot de passe sur le r�seau. J'�tais m�me assez fier du >boulot effectu�. > >Mais le client � pu rentrer sans m�me decouvrir le mot de passe. A notre >grande surprise, il a juste "d�compil�" notre code et modifi� l'application >pour que l'authentification soit toujours bonne ... Simple, cela ne lui a >pris plus de 5 min (surement moins encore s'il y avait encore eu les >commentaires). > >Je sais qu'il existe des outils "d'obfuscation" de code, mais est-ce >vraiment valable ? Est-ce la solution � mon probl�me ?
c'est une solution... surement la plus rapide a mettre en oeuvre... >Alors alors, l'application est peut-�tre mal con�ue ... beinh en fait, il serait surement bon de jeter un coup d'oeil a JAAS , ce type de framework permettrait de hisser de qq crans le niveau de secu de ton appli , de t'ouvrir vers plein de cas particuliers impossibles pour toi a recoder.... bref a regarder!!!! >S'il faut que j'utilise un tel outil, � quel moment du processus de >d�veloppement faut-il l'appliquer ? dans ton build au moment de preparer ta distrib finale... jerome PS: bon courage!!!
