# client <> db anwendung - zugangsdaten?



## Guest (14. Nov 2008)

ich glaub das thema hatten wir schon mal. wollte aber nochmal genau nachfragen.
ich habe eine swing client anwendung gschrieben, die direkt auf eine db zugreift, die zugangsdaten liegen im moment in einer property file... an und für sich schlecht, da sich der benutzer nicht direkt mit einem anderen tool auf db verbinden soll. er soll nur daten sehen, die ihn etwas angehen und dafür sorgt meine anwendung....

ich könnte nun eine server anwendung einführen die sich auf die db verbindet und mein client kommuniziert nur mit dieser applikationsschicht. an und für sich nicht so das problem, da ich sauber  alles in schichten getrennt habe und mit spring und rmi wäre das sicher zu lösen...

aber gibt es keine andere möglichkeit? es gibt doch so viele client<>db anwendungen da drausen, hatt da immer der user theoretisch zugriff auf die db zugangsdaten?
hätte schon überlegt ob nicht einfach einen kleinen service schreiben soll, der dem client bei authentifizierung die zugangsdaten über http schickt usw... aber sowas ist ja auch total unsicher, der benutzer müsste nur die entsprechende class decompilieren, an der stelle wo die zugangsdaten kommen, diese írgendwo ausgeben und fertig...

wenn ihr sowas macht, habt ihr alle eine server anwendung, oder wie macht ihr das?


----------



## FenchelT (14. Nov 2008)

Du koenntest ja beispielsweise Deinen Benutzernamen und das Passwort verschluesselt in deinem Property File ablegen und es in Deiner Appl. entschluesseln, bevor Du es benutzt?!

Ich hoffe, da liegt nicht der root Benutzer drin sondern einer, mit den fuer deine Appl. benoetigten Rechte?!


----------



## Gast (14. Nov 2008)

>> hatt da immer der user theoretisch zugriff auf die db zugangsdaten?

Ja.

>> Du koenntest ja beispielsweise Deinen Benutzernamen und das Passwort verschluesselt in deinem Property File ablegen und es in Deiner Appl. entschluesseln, bevor Du es benutzt?! 

Geht nicht wirklich, irgendwo muss entschlüsselt werden, wahrscheinlich im Programm, d.h. diesen kann man durch dekompileiren wieder rausfinden.


----------



## L-ectron-X (14. Nov 2008)

Du brauchst dafür eine weitere Schicht dazwischen. Bspw. einen RMI-Server, der die "Türsteher"-Funktion übernimmt.


----------

