# Passwörter im Applet



## jobu0101 (5. Jan 2006)

Ich habe eine Frage. Es geht darum, dass man zum Beispiel ein Applet hat, das auf eine Datenbank zugreift. Da müsste dieses Applet ja das PW der Datenbank haben, da Applets aber zum Clienten gedownloadet werden können, könnte er sie mit speziellen Endcodingprogrammen endcoden und hätte das PW meiner DB. Wie kann ich sowas vermeiden oder umgehen?


----------



## Lim_Dul (5. Jan 2006)

Rein mit einem Applet: Garnicht.
Du müsstest auf dem Server eine Art Wrapper installieren, der auf die Datenbank zugreift.
Dies kann beispielsweise ein php Script sein, was die vom Applet die Daten geschickt bekommt, diese validiert, die Datenbank befragt und die Daten dann bereitstellt.


----------



## bummerland (5. Jan 2006)

kann man nicht das Passwort in einer textdatei speichern, auf die über den webserver nicht zugegriffen werden kann, sondern nur intern z.b. über das applet?


----------



## MPW (5. Jan 2006)

Ja klar kann man das, mit entsprechendem Aufwand, da aber im Applet drin steht, wie du zu der Textdatei kommst aendert das nichts

Was genau soll denn passieren, gib doch einfach den usern das Passwort, die das Applet benutzen sollen oder was willst du eigentlich bezwecken?


----------



## jobu0101 (6. Jan 2006)

Lim_Dul hat gesagt.:
			
		

> Rein mit einem Applet: Garnicht.
> Du müsstest auf dem Server eine Art Wrapper installieren, der auf die Datenbank zugreift.
> Dies kann beispielsweise ein php Script sein, was die vom Applet die Daten geschickt bekommt, diese validiert, die Datenbank befragt und die Daten dann bereitstellt.



Aber wenn dann jemand ein anderes Applet schreibt, könnte das ja auch das php-Skipt benutzen und an bestimmte Daten kommen, die nicht für andere bestimmt sind!


----------



## Lim_Dul (6. Jan 2006)

Deshalb schrieb ich ja eingabe validieren.

Wie das aussieht, musst du wissen. Du kannst beispielsweise nur bestimmte querys durchlassen.


----------



## Roar (6. Jan 2006)

jobu0101 hat gesagt.:
			
		

> Lim_Dul hat gesagt.:
> 
> 
> 
> ...


wenn die daten nicht für andere bestimmt nicht, warum kann sie dann jedermann über das applet abrufen? 
php: wenn die daten über ein php script übermittelt werden kann die natürlich jeder woanders wiederverwenden, da hilft jedes validieren nix, schließlich kann man den script aufruf genauso nachbauen wie es das applet macht wenn man das applet dekompiliert doer mit ethereal den netzwerkverkehr abhorcht.


----------



## Lim_Dul (6. Jan 2006)

Es geht darum, dass das script einen Filter dastellt.

Beispielsweise, soll das Applet nur die Queries SELECT X FROM Y WHERE Z = 3 und SELECT X FROM Y WHERE Z = 4 ausführen dürfen. Dann lässt das php script nichts anderes durch.


----------



## MPW (6. Jan 2006)

hae, aber das macht doch auch wieder keinen Sinn, wenn man bedenkt, dass man das fuer jeden user wieder anders machen muss, man also das ganze doch wieder oeffnen muss um verschiedenen usern den Zugriff zu ermoeglichen.


----------



## Lim_Dul (6. Jan 2006)

Dann muss das php script halt benutzer/passwort checken, dass der user eingeben hat und daraus basierend die querys basteln.


----------



## Sky (6. Jan 2006)

Dann schütze das Applet!

Installier die z.B. nen LDAP und lass die komplette Kommunikation über https laufen. Dann können nur die Leute dass Applet laden, die berechtigt sind und somit kann im Applet stehen was will...


----------



## jobu0101 (6. Jan 2006)

Lim_Dul hat gesagt.:
			
		

> Es geht darum, dass das script einen Filter dastellt.
> 
> Beispielsweise, soll das Applet nur die Queries SELECT X FROM Y WHERE Z = 3 und SELECT X FROM Y WHERE Z = 4 ausführen dürfen. Dann lässt das php script nichts anderes durch.



Angenommen das Applet muss einen Usernamen mit einem PW vergleichen. Dafür läd es PW und Username. JEtzt könnte jemand anders das Php-Skript benutzen um Passwörter von anderen Usern zu bekommen!


----------



## Sky (6. Jan 2006)

jobu0101 hat gesagt.:
			
		

> Angenommen das Applet muss einen Usernamen mit einem PW vergleichen. Dafür läd es PW und Username. JEtzt könnte jemand anders das Php-Skript benutzen um Passwörter von anderen Usern zu bekommen!



Das Applet gibt dem PHP Usernamen mit einem PW. Das PW wird verglichen und PHP antwortet "ok" oder "nicht ok".

Wie bekommt man nun PWs von anderen Usern heraus ?


----------



## jobu0101 (6. Jan 2006)

Gut, war ein dummes Beispiel. Aber es gibt sicherlicgh Beispiele in denen das Applet mit Daten rechnen muss, die den Benutzer nichts angehen. Stell dir mal ein Brwosergame vor. Da gibts sowas massenhaft!


----------



## Sky (9. Jan 2006)

jobu0101 hat gesagt.:
			
		

> Gut, war ein dummes Beispiel. Aber es gibt sicherlicgh Beispiele in denen das Applet mit Daten rechnen muss, die den Benutzer nichts angehen. Stell dir mal ein Brwosergame vor. Da gibts sowas massenhaft!


Wenn Du solch große Bedenken hast, musst Du auf Applet's verzichten und deine Logik komplett im Server ablaufen lassen !


----------



## jobu0101 (12. Jan 2006)

Aber wie bekommt man auf einem normalen Server denn eine Javaapplication, die das macht gestartet?
Da müsste man doch schon nenh eigenen Server haben! Mit normalem Webspace geht das wohl nicht.


----------



## MPW (12. Jan 2006)

Jep, wenn du willst koennen wir dir da was geben: www.terra-codes.de kostenlos zum ausprobieren fuer einen Monat


----------

