> Mais le client � pu rentrer sans m�me decouvrir le mot de passe. A notre
> grande surprise, il a juste "d�compil�" notre code et modifi� l'application
> pour que l'authentification soit toujours bonne ... Simple, cela ne lui a
> pris plus de 5 min (surement moins encore s'il y avait encore eu les
> commentaires).
Une piste consisterai � signer ta classe d'authentification et a
refuser de faire une authentification si la signature de cette classe
a chang�. Le controle du digest (MD5, SHA, ...) doit alors se faire au
pres d'un tier de confiance (un serveur prot�g�, une boite externe,
...).
On doit meme pouvoir �crire un ClassLoader qui fait ca
automatiquement. Un truc du genre:
try {
Class authClass = mySecureClassLoader.load("com.host.MyAuthentification");
Authentification auth = (Authentification)authClass.newInstance();
auth.check(login, password);
...
}
catch(SignatureException ex) {
...
}
a+
---------------------------------------------------------------
Olivier Dedieu
Jalios - Master Your Content - www.jalios.com
---------------------------------------------------------------
