[Javalist] új cool Java cikk

Peter Verhas peter at verhas.com
2012. Júl. 27., P, 11:53:21 CEST


Ha kell elmesélem részletesebben is...

De csak ha kell, és nem tudom, hogy mikor.
--
Verhás Péter
peter at verhas.com
+36(30)9306805
skype: verhas




On 2012.07.26., at 20:28, Peter Verhas wrote:

> Nincs trusted client entity.
> 
> 
> --
> Verhás Péter
> peter at verhas.com
> +36(30)9306805
> skype: verhas
> 
> 
> 
> 
> On 2012.07.26., at 20:18, Tamás Demeter wrote:
> 
>> Köszi.
>> 
>> Viszont ezek a mondataid meg a példád elindított bennem egy gondolatsort (PKI infrastruktúra):
>> 
>> Tegyük fel, hogy megfeleltetjük: 
>>  - az aláírt licencet egy hitelesítésszolgáltató által kibocsátott tanusítványnak
>>  - a licence visszavonási infóját egy hitelesítésszolgáltató visszavonási listájából lekérhető érvényességi tanusítványnak  
>> 
>> Fentiekből és példádból/tapasztalatadból az következik, hogy egy tanusítvány érvényességi vizsgálata nem végezhető el biztonságosan, ergó a PKI rendszer nem biztonságos.
>> 
>> Hypotetikus elvi példa NEM figyelembe véve a kivitelezés nehézségét (illetve az állításod alapján pont, hogy nem nehéz a kivitelezés): 
>> - csinálok egy érvényes digitális aláírást 
>> - érvényét veszti (visszavonatom/lejár stb.)
>> - lejárt digitális aláírásommal szignózok egy kötelezettségvállalást
>> - az ellenőrző kliens-t támadom: elhitetem, hogy az aláírás hiteles, viszont az érvényességéről hazudok
>> - a kötelezettségem megszegem
>> - számonkéréskor arra hivatkozok, hogy a kötelezettségvállalás érvénytelen, mert érvénytelen aláírást használtak benne. (pl. visszavonás után nem kezeltem bizalmasan, annak tudatában, hogy már nem érvényes, és valaki a tudtomon kívül használta: mondjuk ez egy valóságos alternatív rosszindulatú felhasználás is lehet, egy kifinomultabb "identity theft")
>> 
>> Ez valóban így lenne, vagy benézek vmit az analógiámmal?
>> 
>> Üdv:
>> 
>> Tamás
>> 
>> On 2012-07-26 18:57, Peter Verhas wrote:
>>> 
>>> Nincs.
>>> 
>>> Más nyelven sincs.
>>> 
>>> Lehet egyre biztonságosabb, de valahol meg kell állni.
>>> 
>>> Mostanság, ebben a világban a nagy cégek (pl. Atlassian) ott szoktak megállni, hogy aki nem hackol az "véletlenül" ne használja a programot. Ha valaki szándékosan próbálja kikerülni a licencelést, azzal nem veszik fel a versenyt, mert a háború nem értékteremtő aktivitás.
>>> 
>>> Mivel mi készítettük, a license3j csomagot tudom ajánlani. Az sem megy tovább ennél a szintnél.
>>> 
>>> Ha obfuszkálni akarod a Java kódot (class fájlokat), aránylag olcsón (a tool ingyenes, az olcsó alatt azt értem, hogy nem kell sokat tanulni hozzá), akkor a yworks ilyen eszközét ajánlom. Ki is szedi a nem használt metódusokat, kisebb lesz a JAR. Én magam nem használtam, de a többi termékük nagyon jó.
>>> 
>>> --
>>> Verhás Péter
>>> peter at verhas.com
>>> +36(30)9306805
>>> skype: verhas
>>> 
>>> 
>>> 
>>> 
>>> On 2012.07.26., at 18:18, Tamás Demeter wrote:
>>> 
>>>> Sziasztok,
>>>> 
>>>> Ha már így felvetődött ez az aláírásos példa, akkor, esetleg tudnál (tudnátok) egy irányt adni, hogy hogyan lehet kivédeni ezt a típusú problémát?
>>>> Illetve általánosan mi az áldásos megközelítése a biztonságos aláírás/licence-kezelésnek a Java-ban?
>>>> Éppen a közelmúltban kezdtem el foglalkozni a kérdéssel, így pont kapóra jött ez a felvetés.
>>>> Bármilyen forrást/példát/library-t szívesen fogadnék a témában.
>>>> 
>>>> Köszi,
>>>> 
>>>> Tamás
>>>> 
>>>> On 2012-07-26 11:20, Peter Verhas wrote:
>>>>> 
>>>>> Ez nem is erről szól. De jó tudni, hogy ha valamiért mégis szembe jön, akkor ne lepődj meg annyira.
>>>>> 
>>>>> Nekem egyszer szembejött. Tőlünk keletre írták a kódot.
>>>>> 
>>>>> A másik konkrét ilyen issue pedig az volt, amikor a licence ellenőrzést megvalósító JAR alá volt írva, hogy biztonságos legyen, ne lehessen helyette másikat betölteni, és online kérdezte le, hogy vissza lett-e vonva a konkrét licence. Aztán írtunk egy saját main-t, ami mielőtt meghívta az alkalmazás saját main-jét meghivatkozta a megfelelő osztályt, hogy a class loader betöltse, reflectionnel átírtuk a host nevet (igazából ip-t), és a saját hostról azt mondtunk neki amit akartunk. És akkor a fejlesztő csak nézett. (Nem, nem a licencet akartuk lopni, hanem demonstrálni akartuk, hogy a megoldásuk szart sem ér.)
>>>>> 
>>>>> És utána már nem akartak olyan vehemensen trágyát eladni nekünk.
>>>>> 
>>>>> --
>>>>> Verhás Péter
>>>>> peter at verhas.com
>>>>> +36(30)9306805
>>>>> skype: verhas
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> On 2012.07.26., at 11:07, Hollósi Balázs wrote:
>>>>> 
>>>>>> egy regi kollegam jutott eszembe, aki php-bol generalt java class
>>>>>> fajlokat, es nagyon orult hogy o ilyet csinal (javac nelkul). lehet,
>>>>>> de minek. a refrection egy hatalmas dildo, amit lehet hasznalni a
>>>>>> standard osztalyokon, csak hat minek? faj neki, es mivel a sajat
>>>>>> alkalmazasod is majd azon fut, faj neked is.. nem egeszseges ;)
>>>>>> (memoriaban a vm teruletere tevedni is lehet batran, ugyancsak minek)
>>>>>> 
>>>>>> b
>>>>>> 
>>>>>> 2012/7/26 Peter Verhas <peter at verhas.com>:
>>>>>>> Hogy a lista ne üljön le, kiraktam egy korábban elkészített cikket:
>>>>>>> 
>>>>>>> http://tifyty.wordpress.com/2012/07/26/ez-mar-tenyleg-wtf/
>>>>>>> 
>>>>>>> lehet csócsálni :-)
>>>>>>> 
>>>>>>> --
>>>>>>> Verhás Péter
>>>>>>> peter at verhas.com
>>>>>>> +36(30)9306805
>>>>>>> skype: verhas
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>> _______________________________________________
>>>>>>> Javalist mailing list
>>>>>>> Javalist at lists.javaforum.hu
>>>>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>>>>> 
>>>>>> _______________________________________________
>>>>>> Javalist mailing list
>>>>>> Javalist at lists.javaforum.hu
>>>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>>> 
>>>>> 
>>>>> 
>>>>> _______________________________________________
>>>>> Javalist mailing list
>>>>> Javalist at lists.javaforum.hu
>>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>> _______________________________________________
>>>> Javalist mailing list
>>>> Javalist at lists.javaforum.hu
>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>> 
>>> 
>>> 
>>> _______________________________________________
>>> Javalist mailing list
>>> Javalist at lists.javaforum.hu
>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>> _______________________________________________
>> Javalist mailing list
>> Javalist at lists.javaforum.hu
>> http://lists.javaforum.hu/mailman/listinfo/javalist
> 

--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lists.javaforum.hu/pipermail/javalist/attachments/20120727/e492c840/attachment.html>


További információk a(z) Javalist levelezőlistáról