Javaに関する様々な情報をご紹介します。

Javaに関する様々な情報をご紹介します。
評価

0

安全なパスワードの記載

データベースなどのパスワードの記載方法。
javaは簡単に逆コンパイル出来ますよね?難読化しても頑張れば読めないことはないです。
その為パスワードの記載方法で困っています。
外部ファイルに暗号化して保存しても逆コンバイルでキーがバレては意味がありません。
そこで安全にパスワードを記載する方法を教えて下さい。
またOSに依存してしまいますがlaunch4jを使ってjarをexeにすれば逆コンパイル出来なくなり安全にパスワードを記載できますか?

4

回答

6367

閲覧

4件の回答

評価

0

現実的に、安全な方法というものは存在しない。
誰にとっても閲覧不可能なものは、自分でも閲覧不可能だ。

通常は、それを見てはまずい人間(商用であれば顧客、また
は内部でもシステムに直接関係しない人間)から見えないこ
とをもって「安全」とする。
このとき、DBアクセスする部品が顧客側に提供されるのでな
い限り、逆コンパイルについて考える必要はない。
つまり、ターゲットを絞らない限り答えはないということ
だ。

評価

0

今不特定多数に配布するゲームを作っていてセーブデータを
サーバーで管理しようと思っています。
そこでDBにアクセスするパスワードの管理方法で迷っていま
す。

評価

0

DBアクセス部品もパスワードもサーバにのみ置いてあるのな
ら、普通それでアプリ的には問題ない。
勿論、特定の文字列を送ると生パスワードが返ってくるよう
な、脆弱性がないという前提だが。
まずはクライアントからAPサーバにアクセス可能なポートを
制限したり(ファイアウォール)、DBサーバへのDB接続アク
セスをAPサーバからのみにしたりと言った、インフラ周りの
設定で物理的なアクセスを防ぐ。

ログインパスワードを暗号やハッシュ値で保存するのは、何
らかの理由で物理的にアクセスされてしまった場合のリスク
を軽減するもので、まずはアクセスされる可能性を一つ一つ
潰していくのが先だ。
物理的にアクセスされるというのは、例えばパスワードファ
イルがhttpのdocroot配下にあったりすることを言う。

評価

0

色々参考にさせて頂きます。ありがとうございました。

質問から6ヶ月以上経過しているので、回答を書き込むことはできません。