giuseppe93 (Ex-Member)
Pro
Messaggi: 166
Iscritto: 02/08/2009
|
salve a tutti! forse non è la sezione giusta e forse anche il titolo non è molto azzeccato, quindi mi scuso fin da subito, comunque leggendo questo post http://www.pierotofy.it/pages/extras/forum/2/1011074-scopr ... mi è venuto in mente quali sono le "procedure" per evitare di farsi scoprire le password scritte nel sorgente??
|
|
()
Newbie
Messaggi:
Iscritto:
|
Semplice ... non scriverle nel sorgente.
|
|
netarrow (Admin)
Guru^2
Messaggi: 2502
Iscritto: 12/05/2004
|
Di solito si calcola sulla password un'impronta di messaggio, e poi si fa il confronto su quella.
Per rendere più difficile il risalire dall'hash al testo originale si usano di solito salt e iterazioni durante il calcolo dell'impronta.
Cercando su google o direttamente qui su pierotofy.it trovi molti articoli.
|
|
HeDo (Founder Member)
Guru^2
Messaggi: 2765
Iscritto: 21/09/2007
|
Postato originariamente da nessuno:
Semplice ... non scriverle nel sorgente. |
già... mi ricorderò sempre una frase tratta da un testo di reverse engineering, faceva circa così: "if you hard-code a password, get ready to recompile over and over"
in poche parole, è così semplice da scoprire, nonostante molti furbi giochetti che si possono applicare, che non vale la pena di farlo. |
|
TheKaneB (Member)
Guru^2
Messaggi: 1792
Iscritto: 26/06/2009
|
un programma che uso spesso, no$gba (un emulatore di GBA e Nintendo DS), usa uno schema di password particolare... questa password (lunga un centinaio di caratteri) contiene i dati dell'utente (ottenuti tramite la registrazione della licenza), dati random e dati di emulazione (cioè pezzi dell'emulatore stesso), il tutto criptato in qualche modo...
Può essere un'idea :-)
|
|
XBarboX (Member)
Guru
Messaggi: 945
Iscritto: 31/12/2008
|
Io per un mio programma ho fatto così:
Avevo un file testo che conteneva le credenziali per accedere al database locale e certamente non potevo lasciarle in chiaro...
Allora ho fatto così: Le password le ho criptate e nelle varie classi che ho fatto per quel programma ne ho fatta una anche una per criptare e decriptare, in modo da proteggere i dati.
Però ora mi sorge un dubbio: in java ottenere il codice sorgente da un file .class è piuttosto difficile vero? Perchè se riesce a mettere mano nel sorgente tutto questo lavoro è servito a nulla... Di decompiler ne so nulla.
|
|
qualcuno (Ex-Member)
Rookie
Messaggi: 37
Iscritto: 30/06/2010
|
Quoto nessuno e aggiungo:
è anche inutile farlo, perchè se il tuo obbiettivo è "faccio inserire all'utente una password, se è uguale ad x allora faccio continuo nell'esecuzione del programma, altrimenti lo chiudo" allora sì può anche fare a meno di conoscere la password, basta individuare il punto o i punti dove fai il controllo ed magari invertire la logica dei controlli(usare qualche nop, etc...). La cosa ovviamente può essere molto più complicata(molti cicli dove fai i controlli, controlli a blocchi, istruzioni inutili,etc) e può servire a confondere le idee ad un reverser poco esperto(ma molto poco esperto ).
Ultima modifica effettuata da qualcuno il 11/07/2010 alle 11:15 |
|
netarrow (Admin)
Guru^2
Messaggi: 2502
Iscritto: 12/05/2004
|
in java ottenere il codice sorgente da un file .class è piuttosto difficile vero?
|
no, se il codice non è offuscato è una bazzecola.
|
|
XBarboX (Member)
Guru
Messaggi: 945
Iscritto: 31/12/2008
|
Postato originariamente da netarrow:
in java ottenere il codice sorgente da un file .class è piuttosto difficile vero?
|
no, se il codice non è offuscato è una bazzecola.
|
Però deve lo stesso usare un decompiler, altrimenti come fa? Il sorgente è contenuto nel file .java... Non ci capisco più nulla. XD |
|