Bezpieczeństwo apletów JAVA na WWW
Każda aplikacja bądź serwis, która osiągnie sukces, prędzej czy później jest narażona na próbę oszustw. Szczególnie tak się dzieje gdy tym popularnym serwisem, a w tym konkretnym przypadku jest gra.
W najnowszym numerze hackin9 (2/2009) pojawił dość obszerny artykuł o ochronie dostępu do apletów Javy. Cele jest maksymalne utrudnienie zdobycia dostępu do źródeł samego apletu (*.class czy całego archiwum klas - *.jar). Ĺšródło takich plików można bez większego problemu zdekompilować, jednak jakość tego kodu będzie pozostawiała wiele do życzenia. Potrzeba będzie czasu na „doczytanie się” o co tam chodzi.
Autorem tego tekstu jest Polak – Artur Kozubski, który rozwija i zabezpiecza jedną z gier on-line wirtualny-swiat.com, który przedstawia kilka rozwiązań. Jednym z takich rozwiązań, jest dynamiczna budowa struktury strony `a pomocą skryptów JavaScript. Dzięki temu osoba nie widzi takiego apletu w kodzie strony, tylko jego efekt. Jak zresztą zauważył autor, są już dodatki do przeglądarek, które umożliwiają podgląd generowanego w locie kodu HTML.
Innym sposobem jest zaprzęgnięcie języka serwerowego (np. PHP), za pomocą którego będzie ograniczali dostęp takiemu cwaniaczkowi.
Plusem tego artykułu, jest to, że podane źródła posiadają komentarze (i to w języku polskim), a nie jak to bywało np. w artykule o atakach sql injection, gdzie wszystko było po angielsku. Dla mnie to nie jest większy problem, ale dla inny owszem.
Komentarze
Jeszcze nie ma komentarzySkomentuj jako pierwszy! :)