[Javalist] új cool Java cikk

2012. Júl. 26., Cs, 20:18:07 CEST

Köszi.

Viszont ezek a mondataid meg a példád elindított bennem egy gondolatsort 
(PKI infrastruktúra):

Tegyük fel, hogy megfeleltetjük:
  - az aláírt licencet egy hitelesítésszolgáltató által kibocsátott 
tanusítványnak
  - a licence visszavonási infóját egy hitelesítésszolgáltató 
visszavonási listájából lekérhető érvényességi tanusítványnak

Fentiekből és példádból/tapasztalatadból az következik, hogy egy 
tanusítvány érvényességi vizsgálata nem végezhető el biztonságosan, ergó 
a PKI rendszer nem biztonságos.

Hypotetikus elvi példa NEM figyelembe véve a kivitelezés nehézségét 
(illetve az állításod alapján pont, hogy nem nehéz a kivitelezés):
- csinálok egy érvényes digitális aláírást
- érvényét veszti (visszavonatom/lejár stb.)
- lejárt digitális aláírásommal szignózok egy kötelezettségvállalást
- az ellenőrző kliens-t támadom: elhitetem, hogy az aláírás hiteles, 
viszont az érvényességéről hazudok
- a kötelezettségem megszegem
- számonkéréskor arra hivatkozok, hogy a kötelezettségvállalás 
érvénytelen, mert érvénytelen aláírást használtak benne. (pl. 
visszavonás után nem kezeltem bizalmasan, annak tudatában, hogy már nem 
érvényes, és valaki a tudtomon kívül használta: mondjuk ez egy valóságos 
alternatív rosszindulatú felhasználás is lehet, egy kifinomultabb 
"identity theft")

Ez valóban így lenne, vagy benézek vmit az analógiámmal?

Üdv:

Tamás

On 2012-07-26 18:57, Peter Verhas wrote:
> Nincs.
>
> Más nyelven sincs.
>
> Lehet egyre biztonságosabb, de valahol meg kell állni.
>
> Mostanság, ebben a világban a nagy cégek (pl. Atlassian) ott szoktak 
> megállni, hogy aki nem hackol az "véletlenül" ne használja a 
> programot. Ha valaki szándékosan próbálja kikerülni a licencelést, 
> azzal nem veszik fel a versenyt, mert a háború nem értékteremtő aktivitás.
>
> Mivel mi készítettük, a license3j csomagot tudom ajánlani. Az sem megy 
> tovább ennél a szintnél.
>
> Ha obfuszkálni akarod a Java kódot (class fájlokat), aránylag olcsón 
> (a tool ingyenes, az olcsó alatt azt értem, hogy nem kell sokat 
> tanulni hozzá), akkor a yworks ilyen eszközét ajánlom. Ki is szedi a 
> nem használt metódusokat, kisebb lesz a JAR. Én magam nem használtam, 
> de a többi termékük nagyon jó.
>
> --
> Verhás Péter
> peter at verhas.com <mailto:peter at verhas.com>
> +36(30)9306805
> skype: verhas
>
>
>
>
> On 2012.07.26., at 18:18, Tamás Demeter wrote:
>
>> Sziasztok,
>>
>> Ha már így felvetődött ez az aláírásos példa, akkor, esetleg tudnál 
>> (tudnátok) egy irányt adni, hogy hogyan lehet kivédeni ezt a típusú 
>> problémát?
>> Illetve általánosan mi az áldásos megközelítése a biztonságos 
>> aláírás/licence-kezelésnek a Java-ban?
>> Éppen a közelmúltban kezdtem el foglalkozni a kérdéssel, így pont 
>> kapóra jött ez a felvetés.
>> Bármilyen forrást/példát/library-t szívesen fogadnék a témában.
>>
>> Köszi,
>>
>> Tamás
>>
>> On 2012-07-26 11:20, Peter Verhas wrote:
>>> Ez nem is erről szól. De jó tudni, hogy ha valamiért mégis szembe 
>>> jön, akkor ne lepődj meg annyira.
>>>
>>> Nekem egyszer szembejött. Tőlünk keletre írták a kódot.
>>>
>>> A másik konkrét ilyen issue pedig az volt, amikor a licence 
>>> ellenőrzést megvalósító JAR alá volt írva, hogy biztonságos legyen, 
>>> ne lehessen helyette másikat betölteni, és online kérdezte le, hogy 
>>> vissza lett-e vonva a konkrét licence. Aztán írtunk egy saját 
>>> main-t, ami mielőtt meghívta az alkalmazás saját main-jét 
>>> meghivatkozta a megfelelő osztályt, hogy a class loader betöltse, 
>>> reflectionnel átírtuk a host nevet (igazából ip-t), és a saját 
>>> hostról azt mondtunk neki amit akartunk. És akkor a fejlesztő csak 
>>> nézett. (Nem, nem a licencet akartuk lopni, hanem demonstrálni 
>>> akartuk, hogy a megoldásuk szart sem ér.)
>>>
>>> És utána már nem akartak olyan vehemensen trágyát eladni nekünk.
>>>
>>> --
>>> Verhás Péter
>>> peter at verhas.com <mailto:peter at verhas.com>
>>> +36(30)9306805
>>> skype: verhas
>>>
>>>
>>>
>>>
>>> On 2012.07.26., at 11:07, Hollósi Balázs wrote:
>>>
>>>> egy regi kollegam jutott eszembe, aki php-bol generalt java class
>>>> fajlokat, es nagyon orult hogy o ilyet csinal (javac nelkul). lehet,
>>>> de minek. a refrection egy hatalmas dildo, amit lehet hasznalni a
>>>> standard osztalyokon, csak hat minek? faj neki, es mivel a sajat
>>>> alkalmazasod is majd azon fut, faj neked is.. nem egeszseges ;)
>>>> (memoriaban a vm teruletere tevedni is lehet batran, ugyancsak minek)
>>>>
>>>> b
>>>>
>>>> 2012/7/26 Peter Verhas <peter at verhas.com <mailto:peter at verhas.com>>:
>>>>> Hogy a lista ne üljön le, kiraktam egy korábban elkészített cikket:
>>>>>
>>>>> http://tifyty.wordpress.com/2012/07/26/ez-mar-tenyleg-wtf/
>>>>>
>>>>> lehet csócsálni :-)
>>>>>
>>>>> --
>>>>> Verhás Péter
>>>>> peter at verhas.com <mailto:peter at verhas.com>
>>>>> +36(30)9306805
>>>>> skype: verhas
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> Javalist mailing list
>>>>> Javalist at lists.javaforum.hu <mailto:Javalist at lists.javaforum.hu>
>>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>>>
>>>> _______________________________________________
>>>> Javalist mailing list
>>>> Javalist at lists.javaforum.hu <mailto:Javalist at lists.javaforum.hu>
>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>
>>>
>>>
>>> _______________________________________________
>>> Javalist mailing list
>>> Javalist at lists.javaforum.hu
>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>> _______________________________________________
>> Javalist mailing list
>> Javalist at lists.javaforum.hu <mailto:Javalist at lists.javaforum.hu>
>> http://lists.javaforum.hu/mailman/listinfo/javalist
>
>
>
> _______________________________________________
> Javalist mailing list
> Javalist at lists.javaforum.hu
> http://lists.javaforum.hu/mailman/listinfo/javalist
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lists.javaforum.hu/pipermail/javalist/attachments/20120726/76fdb75c/attachment.html>