Java Erzeugte cfg verschlüsseln

[PEASANT KING]

Hallo Leute,

für eine Applikation benutze ich eine .cfg die Parameter bereit hält wie Datenbankanbindung usw. nun wollte ich mal wissen ob es in Java schon ne Klasse gibt mit der ich diese .cfg verschlüsseln kann und wenn ich die Parameter brauche entschlüsseln kann um diese auszulesen.

mfg DJ

 

[redeye86]

Mit EncryptedOutputStream bzw. EncryptedInputStream kannst du das machen. Aber du musst halt zumindest irgendwo im Code nen Schlüssel vorhalten und an den kommt man halt im Zweifel auch wieder dran.

 

[IceMatrix]

Das kommt zunächst mal drauf an wie du diese cfg-Datei einliest. Verschlüsselung gibts in Java bereits. Vergiss aber nicht dass zum Verschlüsseln Keys nötig sind. Und wenn du statt ner unverschlüsselten cfg-Datei die Keys mit ins Verzeichnis speicherst bringt dir das überhaupt nichts.

Beispiel für Verschlüsselung hier:
http://java.sun.com/developer/technicalArticles/Security/AES/AES_v1.html

 

[Visceroid]

htaccess reicht nicht?

 

[IceMatrix]

Config-Datei sollten niemals aus dem Web erreichbar sein. Damit meine ich nicht .htaccess, sondern die dürfen nicht im DocumentRoot liegen.

 

[PEASANT KING]

Es geht um Java und einer Desktop Applikation @ Visceroid sonst korrigier mich.

Wenn ich es mit EncryptedOutputStream versuche schlägt mir die Ide um die Ohren das sie die Klasse erzeugen will ?!?!
In welchem Package finde ich diese denn ?

 

[IceMatrix]

In dem Fall brauchst du eigentlich die cfg-Datei nicht verschlüsseln. Gib ihr einfach entsprechende Dateipermissions, so dass nur der entsprechende Benutzer drauf zugreifen kann.

 

[Tumbleweed]

Wenn du direkt von der client application auf die DB zugreifen willst, solltest du vom user Logindaten abfragen. Ansonsten würde ich den eigentlichen Zugriff auf Serverseite realisieren und den client nur zu einem bestimmten Account mit bestimmten Rechten connecten lassen.

 

[PEASANT KING]

Die Sache ist folgende ich bastel mir zum Spass eine kleine Warenwirtschaft in Java.
Um nun Zugriff auf die Datenbank zu erhalten, habe ich ein JDialog erstellt mit Feldern wie Datenbank, Datenbankname, Benutzer, Passwort, Port.
Das ganze soll in eine Cfg geschrieben werden sodass die Informationen in der cfg vorhanden sind und beim Herstellen der Verbindung auf die DB soll die cfg ausgelesen werden.
Nun möchte ich aber diese cfg verschlüsseln sodass man die cfg von aussen nicht auslesen kann, wenn sie später im Stammverzeichnis der Applikation liegt.

 

[IceMatrix]

Inwiefern "von außen" auslesen?

 

[Tumbleweed]

Die Frage ist - warum musst du diese Daten unbedingt speichern? Verbindungsdaten kannst du ja gerne speichern und da kannst du dir die Verschlüsselung auch sparen, aber nur zur Bequemlichkeit würde ich nicht so ein Sicherheitsleck schaffen und die Logindaten irgendwo hinschreiben. Wie bereits angedeutet wurde, wird bei der Verschlüsselung ja irgendein key verwendet und wenn jemand die Anwendung hat, kommt er auch an den key ran.

 

[IceMatrix]

Bei so nem Demoprojekt wäre dieses Thema aus meiner Sicht sowieso die niedrigste Prio überhaupt. Mit solchen Detailfragen kann man sich beschäftigen wenn das ganze Projekt komplett fertig ist.

 

[redeye86]

Falls du, es trotz der Bedenken machen willst, mir ist aufgefallen, dass das Ganze doch etwas anders heißt und zwar CipherOutputStream. Hier zwei Beispiele zum schreiben und lesen der Daten:

http://www.java2s.com/Tutorial/Java/0490__Security/UsingCipherOutputStream.htm

und

http://www.java2s.com/Tutorial/Java/0490__Security/UsingCipherInputStream.htm