# mal wieder passwort im code.



## Java-Rookie (30. Mrz 2006)

also die suchfunktion hab ich schon benutzt... entweder falsch oder es gibt immer noch keine lösung... 

kann man das pw nicht im code hinterlegen ohne das es jeder auslesen kann im klartext... es muss nicht hackersicher sein... aber direkt sehen sollte man es auch nicht... 

mit der lösung pw in eine variable packen bin ich auch nicht so ganz zufrieden... bringt ja nicht sehr viel nur das das pw an einer anderen stelle steht! 

stimmts oder liege ich da falsch... schon ne lösung... am besten für noobs parat?!?!?  :bae:


----------



## AlArenal (30. Mrz 2006)

Wenn du das PW im Code hast, kannst man später belibig mittels Disassembler das PW wieder rausholen. Wenn du es anderweitig ablegtst, kannst dus noch verschlüsseln oder so, aber wer den Code disassembliert, kann auch das nachvollziehen.

Ergo gibts keine sichere AUfbewahrung, wenn der Client ein DB-Passwort benötigt und der User es aber nicht kennen soll. Wenn das Programm lediglich Daten lesen können muss, kannst du es über einen passend konfigurierten DB-User laufen lassen, der keine Schreibrechte in der DB hat. Musst du auch schreiben, biste wieder gekniffen.

Da wäre es das Sauberste clientseitig nicht mit JDBC zu arbeiten, eine Client-Server-Lösung zu entwickeln und den User sich gegenüber dem Server authentifizieren zu lassen: Also ne mittelschwere komplette Umstellung der Architektur.

So lange der Client mit JDBC arbeitet, kannst du nur etwas mehr Pseudo-Sicherheit erzielen, abgesehen davon dass hartverdrahtete Zugangsdaten jeder Art natürlich aus Sicht der Wartung der Anwendung foobar sind...


----------



## Java-Rookie (5. Apr 2006)

naja... dann bleibt wohl nix anderes übrig als das pw einfach drin stehen zu lassen... ist zwar hier nur für den internen gebrauch gedacht und sollte somit auch nix passieren... 

aber schon irgendwie heftig das da nicht mehr geht...


----------



## Ilja (5. Apr 2006)

speichere das PW verschlüsselt in nem File!
die Software und damit auch den Entschlüsselungsalgorithmus (synchroner - rc4 z.b.) mit Obfusticator verfremden, so kommt keiner dran, außer evtl. richtige cracks ^^!


----------



## AlArenal (5. Apr 2006)

Das ist nur dann ein Problem, wenn einer meint man müsste von überall direkt über JDBC überall draufkommen. Man kann ja nicht alles DAU-sicher machen, sondern muss schon davon ausgehen können, dass Entwickler und Sysadmins wissen, was sie da tun.


----------



## Java-Rookie (5. Apr 2006)

"denn sie wissen nicht was sie tun...." 

würde bei mir auch voll zutreffen...


----------



## AlArenal (5. Apr 2006)

Wird schon werden. Immer fleißig am Ball bleiben


----------

