[Owasp-greece] Java Security

Tigkas Stelios Stelios.Tigkas at uk.fujitsu.com
Mon Apr 30 09:55:27 EDT 2007


Χαιρετώ τη λίστα. 

Τσέκαρα μία εφαρμογή πρόσφατα, όπου τα πάντα, συμπεριλαμβανόμενης της (όποιας) ασφάλειας είναι built-in, είναι σε Java.
 
Αναρωτιέμαι αν αυτό είναι καλή ιδέα, μια και χρησιμοποιόντας έναν Java Decompiler μπορεί κανείς να κατεβάσει τα .JAR και να τσεκάρει το source code απ ευθείας. Η εμπειρία μου σε source code reviews από άποψη ασφαλείας είναι ανύπαρκτη, κι έτσι προφανώς δε βρήκα κάτι τρανταχτό στο χρόνο που μου δόθηκε για να κάνω τον έλεγχο. Φαντάζομαι όμως ότι όσοι απο σας είστε προγραμματιστές θα είχατε σκίσει τη συγκεκριμένη εφαρμογή σε λίγα nanoseconds. 

Ίσως οι ακόλουθες ερωτήσεις να είναι άκυρες: 

-	Τι ποσοστό της εφαρμογής είναι άραγε ορατό σε μία τέτοια περίπτωση? Έιχα τη δυνατότητα να κατεβάσω και να κάνω decompile σε αρχεία .class που είχαν να κάνουν με το πως γίνεται το authentication και το logging. Υπάρχουν κομμάτια σχετικά με τις συγκεκριμένες λειτουργίες που δεν είναι όρατα / προσπελάσιμα στο front end της εφαρμογής? 
-	Υπάρχει τρόπος να εμποδίσεις το χρήστη / penetration tester από το να κατεβάσει (και να κάνει decompile) συγκεκριμένα αρχεία?

Είμαι όλος αυτία για απαντήσεις, διορθώσεις, παρεμβάσεις και σχόλια

Ευχαριστώ, 
Στέλιος
 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.owasp.org/pipermail/owasp-greece/attachments/20070430/25ea50b1/attachment.html 


More information about the Owasp-greece mailing list