Archivo JAR protegido
592 views
Skip to first unread message
Fedex
Jul 4, 2008, 12:47:04 PM7/4/08
to JavaSOS, isid...@gmail.com
Hola grupo!
Mi duda es si es posible crear un archivo JAR con contraseña y al
accederlo hacerlo de la misma forma?
Mi duda es si es posible crear un archivo JAR con contraseña y al
accederlo hacerlo de la misma forma?
Oscar Berganza
Jul 14, 2008, 4:53:33 PM7/14/08
to jav...@googlegroups.com
tu pregunta es interesante, lo que si puedes hacer es poner una contraseña fija es decir mandarle como parametros lo que quieres que sea tu contraseña al momento de crear el objeto, bueno a mi se me ocurre de es forma saludos
--
Oscar E. Berganza Cardona
2008/7/4 Fedex <fedem...@gmail.com>:
Hola grupo!
Mi duda es si es posible crear un archivo JAR con contraseña y al
accederlo hacerlo de la misma forma?
--
Oscar E. Berganza Cardona
Pablo Molnar
Jul 14, 2008, 5:52:35 PM7/14/08
to jav...@googlegroups.com
Ese sería un método bastante hackeable, ya que descompilando la clase obtendrías el password facilmente.
Sun ya nos ofrece una forma de firmar los jar usando clave publica y privada.
Link: http://java.sun.com/docs/books/tutorial/deployment/jar/signindex.html
Slds!
Pablo
Sun ya nos ofrece una forma de firmar los jar usando clave publica y privada.
Link: http://java.sun.com/docs/books/tutorial/deployment/jar/signindex.html
Slds!
Pablo
2008/7/14 Oscar Berganza <oscarb...@gmail.com>:
Edson Chavez
Jul 15, 2008, 1:23:54 PM7/15/08
to jav...@googlegroups.com
te refieres a que el jar este protegido para poder descomprimirlo o algo similar?
recuerda que los jar se comprimen con archivo zip
saludos
Edson
recuerda que los jar se comprimen con archivo zip
saludos
Edson
2008/7/14 Oscar Berganza <oscarb...@gmail.com>:
Edson Chavez
Jul 15, 2008, 1:23:54 PM7/15/08
to jav...@googlegroups.com
te refieres a que el jar este protegido para poder descomprimirlo o algo similar?
recuerda que los jar se comprimen con archivo zip
saludos
Edson
recuerda que los jar se comprimen con archivo zip
saludos
Edson
2008/7/14 Oscar Berganza <oscarb...@gmail.com>:
tu pregunta es interesante, lo que si puedes hacer es poner una contraseña fija es decir mandarle como parametros lo que quieres que sea tu contraseña al momento de crear el objeto, bueno a mi se me ocurre de es forma saludos
Oscar Berganza
Jul 18, 2008, 5:55:26 PM7/18/08
to jav...@googlegroups.com
BUeno la realidad es que yo he hecho los JAR CON netbeans y asi como los he contruido. me referia a que le pusiseras una contraseña en el contructor de la clase fija con programacion
2008/7/15 Edson Chavez <edson...@gmail.com>:
jungle
Jul 22, 2008, 10:08:04 AM7/22/08
to JavaSOS
El método de Sun no encripta el jar. Cualquiera lo puede leer y
ejecutar, la firma sólo permite verificar el autor del jar.
El método de exigir un password en el constructor de una clase es
débil, es trivial obtener el password descompilando el jar o incluso
con el comando strings en unix, a menos que se aplique una función no
reversible al password al momento de verificarlo, por ejemplo usando
un hash del password, pero es muy fácil de atacar un hash con fuerza
bruta.
Pienso que lo mejor es usar una combinación de ambos métodos: una
clase en el jar podría estar encriptada con la clave pública del
usuario autorizado, y esa clase sería cargada explícitamente con un
classloader que usaría la clave privada del usuario para
desencriptarla. Todo el jar estaría firmado con la clave privada del
proveedor del jar usando el método de Sun, de modo que cualquier
modificación sería detectada. Cualquier ataque requiere acceso a la
clase privada del usuario autorizado.
On 18 jul, 18:55, "Oscar Berganza" <oscarberga...@gmail.com> wrote:
> BUeno la realidad es que yo he hecho los JAR CON netbeans y asi como los he
> contruido. me referia a que le pusiseras una contraseña en el contructor de
> la clase fija con programacion
>
> 2008/7/15 Edson Chavez <edsoncha...@gmail.com>:
ejecutar, la firma sólo permite verificar el autor del jar.
El método de exigir un password en el constructor de una clase es
débil, es trivial obtener el password descompilando el jar o incluso
con el comando strings en unix, a menos que se aplique una función no
reversible al password al momento de verificarlo, por ejemplo usando
un hash del password, pero es muy fácil de atacar un hash con fuerza
bruta.
Pienso que lo mejor es usar una combinación de ambos métodos: una
clase en el jar podría estar encriptada con la clave pública del
usuario autorizado, y esa clase sería cargada explícitamente con un
classloader que usaría la clave privada del usuario para
desencriptarla. Todo el jar estaría firmado con la clave privada del
proveedor del jar usando el método de Sun, de modo que cualquier
modificación sería detectada. Cualquier ataque requiere acceso a la
clase privada del usuario autorizado.
On 18 jul, 18:55, "Oscar Berganza" <oscarberga...@gmail.com> wrote:
> BUeno la realidad es que yo he hecho los JAR CON netbeans y asi como los he
> contruido. me referia a que le pusiseras una contraseña en el contructor de
> la clase fija con programacion
>
>
>
>
> > te refieres a que el jar este protegido para poder descomprimirlo o algo
> > similar?
>
> > recuerda que los jar se comprimen con archivo zip
>
> > saludos
> > Edson
>
> > 2008/7/14 Oscar Berganza <oscarberga...@gmail.com>:
>
>
> > te refieres a que el jar este protegido para poder descomprimirlo o algo
> > similar?
>
> > recuerda que los jar se comprimen con archivo zip
>
> > saludos
> > Edson
>
>
> >> tu pregunta es interesante, lo que si puedes hacer es poner una contraseña
> >> fija es decir mandarle como parametros lo que quieres que sea tu contraseña
> >> al momento de crear el objeto, bueno a mi se me ocurre de es forma saludos
>
> >> 2008/7/4 Fedex <fedemtz...@gmail.com>:
> >> tu pregunta es interesante, lo que si puedes hacer es poner una contraseña
> >> fija es decir mandarle como parametros lo que quieres que sea tu contraseña
> >> al momento de crear el objeto, bueno a mi se me ocurre de es forma saludos
>
Reply all
Reply to author
Forward
0 new messages