[Javalist] új cool Java cikk

Tamás Demeter demeterft at dreamgate-design.com
2012. Júl. 27., P, 12:23:32 CEST 

Vevő vagyok a dologra, mert pár hónapon belül biztosan kell...
Ha lesz időd, akkor pl. lehet belőle egy tifyty téma :)
Vagy akár privátban is.

Köszi:

Tamás

On 2012-07-27 11:53, Peter Verhas wrote:
> Ha kell elmesélem részletesebben is...
>
> De csak ha kell, és nem tudom, hogy mikor.
> --
> Verhás Péter
> peter at verhas.com <mailto:peter at verhas.com>
> +36(30)9306805
> skype: verhas
>
>
>
>
> On 2012.07.26., at 20:28, Peter Verhas wrote:
>
>> Nincs trusted client entity.
>>
>>
>> --
>> Verhás Péter
>> peter at verhas.com <mailto:peter at verhas.com>
>> +36(30)9306805
>> skype: verhas
>>
>>
>>
>>
>> On 2012.07.26., at 20:18, Tamás Demeter wrote:
>>
>>> Köszi.
>>>
>>> Viszont ezek a mondataid meg a példád elindított bennem egy 
>>> gondolatsort (PKI infrastruktúra):
>>>
>>> Tegyük fel, hogy megfeleltetjük:
>>>  - az aláírt licencet egy hitelesítésszolgáltató által kibocsátott 
>>> tanusítványnak
>>>  - a licence visszavonási infóját egy hitelesítésszolgáltató 
>>> visszavonási listájából lekérhető érvényességi tanusítványnak
>>>
>>> Fentiekből és példádból/tapasztalatadból az következik, hogy egy 
>>> tanusítvány érvényességi vizsgálata nem végezhető el biztonságosan, 
>>> ergó a PKI rendszer nem biztonságos.
>>>
>>> Hypotetikus elvi példa NEM figyelembe véve a kivitelezés nehézségét 
>>> (illetve az állításod alapján pont, hogy nem nehéz a kivitelezés):
>>> - csinálok egy érvényes digitális aláírást
>>> - érvényét veszti (visszavonatom/lejár stb.)
>>> - lejárt digitális aláírásommal szignózok egy kötelezettségvállalást
>>> - az ellenőrző kliens-t támadom: elhitetem, hogy az aláírás hiteles, 
>>> viszont az érvényességéről hazudok
>>> - a kötelezettségem megszegem
>>> - számonkéréskor arra hivatkozok, hogy a kötelezettségvállalás 
>>> érvénytelen, mert érvénytelen aláírást használtak benne. (pl. 
>>> visszavonás után nem kezeltem bizalmasan, annak tudatában, hogy már 
>>> nem érvényes, és valaki a tudtomon kívül használta: mondjuk ez egy 
>>> valóságos alternatív rosszindulatú felhasználás is lehet, egy 
>>> kifinomultabb "identity theft")
>>>
>>> Ez valóban így lenne, vagy benézek vmit az analógiámmal?
>>>
>>> Üdv:
>>>
>>> Tamás
>>>
>>> On 2012-07-26 18:57, Peter Verhas wrote:
>>>> Nincs.
>>>>
>>>> Más nyelven sincs.
>>>>
>>>> Lehet egyre biztonságosabb, de valahol meg kell állni.
>>>>
>>>> Mostanság, ebben a világban a nagy cégek (pl. Atlassian) ott 
>>>> szoktak megállni, hogy aki nem hackol az "véletlenül" ne használja 
>>>> a programot. Ha valaki szándékosan próbálja kikerülni a 
>>>> licencelést, azzal nem veszik fel a versenyt, mert a háború nem 
>>>> értékteremtő aktivitás.
>>>>
>>>> Mivel mi készítettük, a license3j csomagot tudom ajánlani. Az sem 
>>>> megy tovább ennél a szintnél.
>>>>
>>>> Ha obfuszkálni akarod a Java kódot (class fájlokat), aránylag 
>>>> olcsón (a tool ingyenes, az olcsó alatt azt értem, hogy nem kell 
>>>> sokat tanulni hozzá), akkor a yworks ilyen eszközét ajánlom. Ki is 
>>>> szedi a nem használt metódusokat, kisebb lesz a JAR. Én magam nem 
>>>> használtam, de a többi termékük nagyon jó.
>>>>
>>>> --
>>>> Verhás Péter
>>>> peter at verhas.com <mailto:peter at verhas.com>
>>>> +36(30)9306805
>>>> skype: verhas
>>>>
>>>>
>>>>
>>>>
>>>> On 2012.07.26., at 18:18, Tamás Demeter wrote:
>>>>
>>>>> Sziasztok,
>>>>>
>>>>> Ha már így felvetődött ez az aláírásos példa, akkor, esetleg 
>>>>> tudnál (tudnátok) egy irányt adni, hogy hogyan lehet kivédeni ezt 
>>>>> a típusú problémát?
>>>>> Illetve általánosan mi az áldásos megközelítése a biztonságos 
>>>>> aláírás/licence-kezelésnek a Java-ban?
>>>>> Éppen a közelmúltban kezdtem el foglalkozni a kérdéssel, így pont 
>>>>> kapóra jött ez a felvetés.
>>>>> Bármilyen forrást/példát/library-t szívesen fogadnék a témában.
>>>>>
>>>>> Köszi,
>>>>>
>>>>> Tamás
>>>>>
>>>>> On 2012-07-26 11:20, Peter Verhas wrote:
>>>>>> Ez nem is erről szól. De jó tudni, hogy ha valamiért mégis szembe 
>>>>>> jön, akkor ne lepődj meg annyira.
>>>>>>
>>>>>> Nekem egyszer szembejött. Tőlünk keletre írták a kódot.
>>>>>>
>>>>>> A másik konkrét ilyen issue pedig az volt, amikor a licence 
>>>>>> ellenőrzést megvalósító JAR alá volt írva, hogy biztonságos 
>>>>>> legyen, ne lehessen helyette másikat betölteni, és online 
>>>>>> kérdezte le, hogy vissza lett-e vonva a konkrét licence. Aztán 
>>>>>> írtunk egy saját main-t, ami mielőtt meghívta az alkalmazás saját 
>>>>>> main-jét meghivatkozta a megfelelő osztályt, hogy a class loader 
>>>>>> betöltse, reflectionnel átírtuk a host nevet (igazából ip-t), és 
>>>>>> a saját hostról azt mondtunk neki amit akartunk. És akkor a 
>>>>>> fejlesztő csak nézett. (Nem, nem a licencet akartuk lopni, hanem 
>>>>>> demonstrálni akartuk, hogy a megoldásuk szart sem ér.)
>>>>>>
>>>>>> És utána már nem akartak olyan vehemensen trágyát eladni nekünk.
>>>>>>
>>>>>> --
>>>>>> Verhás Péter
>>>>>> peter at verhas.com <mailto:peter at verhas.com>
>>>>>> +36(30)9306805
>>>>>> skype: verhas
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> On 2012.07.26., at 11:07, Hollósi Balázs wrote:
>>>>>>
>>>>>>> egy regi kollegam jutott eszembe, aki php-bol generalt java class
>>>>>>> fajlokat, es nagyon orult hogy o ilyet csinal (javac nelkul). lehet,
>>>>>>> de minek. a refrection egy hatalmas dildo, amit lehet hasznalni a
>>>>>>> standard osztalyokon, csak hat minek? faj neki, es mivel a sajat
>>>>>>> alkalmazasod is majd azon fut, faj neked is.. nem egeszseges ;)
>>>>>>> (memoriaban a vm teruletere tevedni is lehet batran, ugyancsak 
>>>>>>> minek)
>>>>>>>
>>>>>>> b
>>>>>>>
>>>>>>> 2012/7/26 Peter Verhas <peter at verhas.com <mailto:peter at verhas.com>>:
>>>>>>>> Hogy a lista ne üljön le, kiraktam egy korábban elkészített cikket:
>>>>>>>>
>>>>>>>> http://tifyty.wordpress.com/2012/07/26/ez-mar-tenyleg-wtf/
>>>>>>>>
>>>>>>>> lehet csócsálni :-)
>>>>>>>>
>>>>>>>> --
>>>>>>>> Verhás Péter
>>>>>>>> peter at verhas.com <mailto:peter at verhas.com>
>>>>>>>> +36(30)9306805
>>>>>>>> skype: verhas
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> Javalist mailing list
>>>>>>>> Javalist at lists.javaforum.hu <mailto:Javalist at lists.javaforum.hu>
>>>>>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> Javalist mailing list
>>>>>>> Javalist at lists.javaforum.hu <mailto:Javalist at lists.javaforum.hu>
>>>>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>>>>
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> Javalist mailing list
>>>>>> Javalist at lists.javaforum.hu
>>>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>>> _______________________________________________
>>>>> Javalist mailing list
>>>>> Javalist at lists.javaforum.hu <mailto:Javalist at lists.javaforum.hu>
>>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> Javalist mailing list
>>>> Javalist at lists.javaforum.hu
>>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>> _______________________________________________
>>> Javalist mailing list
>>> Javalist at lists.javaforum.hu <mailto:Javalist at lists.javaforum.hu>
>>> http://lists.javaforum.hu/mailman/listinfo/javalist
>>
>
>
>
> _______________________________________________
> Javalist mailing list
> Javalist at lists.javaforum.hu
> http://lists.javaforum.hu/mailman/listinfo/javalist
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lists.javaforum.hu/pipermail/javalist/attachments/20120727/d1c0d330/attachment.html>

További információk a(z) Javalist levelezőlistáról