Hello !
> -----Message d'origine-----
> De : Damien Lecan [mailto:[EMAIL PROTECTED]]
> Envoy� : mercredi 15 mai 2002 10:56
> � : liste java
> Objet : Application java et s�curit�
>
>
> Bonjour,
>
> Ce matin, notre client nous a montr� le manque de s�curit� de notre
> application.
>
> En effet, notre application ne peut se lancer sans d�verouillage par
> login/mdp. Les �changes avec la base de donn�es sont m�mes
> crypt�s pour
> �viter de voler le mot de passe sur le r�seau. J'�tais m�me
> assez fier du
> boulot effectu�.
>
> Mais le client � pu rentrer sans m�me decouvrir le mot de
> passe. A notre
> grande surprise, il a juste "d�compil�" notre code et modifi�
> l'application
Mouais ! Pas s�r que le commun des mortels aura acc�s au serveur
o� sont install�s les classes. Ca limite quand m�me un peu le
nombre de personnes qui pourront les d�compiler, non ?
Donc, la manip de ton client n'est pas forc�ment tr�s tr�s honn�te
(� part s'il se m�fie de son personnel. Ca arrive...)
> pour que l'authentification soit toujours bonne ... Simple,
> cela ne lui a
> pris plus de 5 min (surement moins encore s'il y avait encore eu les
> commentaires).
>
> Je sais qu'il existe des outils "d'obfuscation" de code, mais est-ce
> vraiment valable ? Est-ce la solution � mon probl�me ?
Sauf erreur, il n'y a pas d'obfuscateur qui emp�che de d�compiler.
Ce n'est pas leur but, par ailleurs. Le plus souvent, ils rendent le code
d�compil� tr�s illisible. Mais, comme le r�sultat doit toujours
�tre du bytecode, ca limite les manips possibles.
> Alors alors, l'application est peut-�tre mal con�ue ...
Je pense, comme l'a dit tr�s justement J�r�me qu'il te
faut �tudier les frameworks de s�curit� (qui cela-dit ne sont pas
forcement d�compilables non-plus).
Olivier
>
> S'il faut que j'utilise un tel outil, � quel moment du processus de
> d�veloppement faut-il l'appliquer ?
>
> Merci de votre aide.
>
> Damien Lecan
>
