Проверка целостности клиентского приложения

@C_MEX · Регистрация: 17.06.2009

Студворк — интернет-сервис помощи студентам

Привет.
Есть JBoss и Swing клиент к нему (через WebStart). Хочется проверить, что к серверу цепляется 'правильный' клиент. Кто-нить такое делал?

@mr_dronski · 18.06.2009, 14:32

если не вдаваться в подробности с подписыванием джаров (это как нужно делать), то можно либу просто прогнать через хеш и, если какие изменения малейшие - контрольная сумма не та. тут возникает проблема с версиями продуктов, которую нужно будет решать самому.

поэтому лучше почитать про подписанные либы

@vold · 18.06.2009, 18:24

Смотря что понимается под солвом 'правильный' и под словом 'клиент'

Если клиент - это человек, а правильный это тот, которому разрешено выполнять некие операции, то тут вступает в действие JBossSX...

@C_MEX · 19.06.2009, 10:05 **[ТС]**

Под правильным клиентом понимается клиентское приложение написанное мной. Подписывать ДЖАры уже приходилось, т.к. клиент запускается через Java WebStart с полными правами на компьютере. Если клиент подписан, как мне проверить с сервера что клиент подписан мною?

Уже после того, как я убежусь, что клиентское приложение написано мною, можно будет у пользователя спрашивать имя и пароль, или еще что-то. Видимо тут я узнаю о заявленном JBossSX.

С авторизацией и прочим я пока новичек, и поэтому вопросы могут быть глупыми, заранее сорри.

@mr_dronski · 19.06.2009, 22:02

а может и не стоит голову морочить? все равно ведь, кому нужно, обойдет это дело

я по своему опыту знаю. люди защищают, пишут, используют криптографию кругом, а потом берется такой умник как я (с достаточным количеством пива) и декомпилит прогу. даже после 'победного' прохода obfuscator'ом шансы обойти все мансы - около 90%. и полетят часы/дни/недели труда именно туда...

а так, почему не устраивает подписывание _своим_ private ключом? ведь если его не будешь всем раздавать, то вполне надежно

@vold · 20.06.2009, 16:16

>>а может и не стоит голову морочить
полностью согласен, по-моему это только лишняя запара, и все...
если сервер сам по себе хорошо засекурен, то особого смысла паристя с проверкой приложения на то, что это именно то приложение, не имеет вроде смысла.
тем более, что пользователи уже достаточно продвинутый народ обычно и ввести имя и пароль для них не критичная процедура....

@lamerbot · 22.08.2011, 11:54

Хе очень просто. После такого не поможет и цистерна пива

Вобщем, Вам нужно проверять не то, что прога ваша, а то, что пользователь аутентифицирован. Такую защиту лучше всего основывать на политике открытых ключей.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@C_MEX 0 / 0 / 0 Регистрация: 17.06.2009 Сообщений: 7

	Проверка целостности клиентского приложения 18.06.2009, 07:00. Показов 2104. Ответов 6 Метки нет (Все метки) Привет. Есть JBoss и Swing клиент к нему (через WebStart). Хочется проверить, что к серверу цепляется 'правильный' клиент. Кто-нить такое делал? 0

@mr_dronski 4 / 4 / 1 Регистрация: 13.08.2008 Сообщений: 931
	18.06.2009, 14:32
	если не вдаваться в подробности с подписыванием джаров (это как нужно делать), то можно либу просто прогнать через хеш и, если какие изменения малейшие - контрольная сумма не та. тут возникает проблема с версиями продуктов, которую нужно будет решать самому. поэтому лучше почитать про подписанные либы 0

@vold 0 / 0 / 2 Регистрация: 17.08.2007 Сообщений: 222
	18.06.2009, 18:24
	Смотря что понимается под солвом 'правильный' и под словом 'клиент' Если клиент - это человек, а правильный это тот, которому разрешено выполнять некие операции, то тут вступает в действие JBossSX... 0

@C_MEX 0 / 0 / 0 Регистрация: 17.06.2009 Сообщений: 7
	19.06.2009, 10:05 [ТС]
	Под правильным клиентом понимается клиентское приложение написанное мной. Подписывать ДЖАры уже приходилось, т.к. клиент запускается через Java WebStart с полными правами на компьютере. Если клиент подписан, как мне проверить с сервера что клиент подписан мною? Уже после того, как я убежусь, что клиентское приложение написано мною, можно будет у пользователя спрашивать имя и пароль, или еще что-то. Видимо тут я узнаю о заявленном JBossSX. С авторизацией и прочим я пока новичек, и поэтому вопросы могут быть глупыми, заранее сорри. 0

@mr_dronski 4 / 4 / 1 Регистрация: 13.08.2008 Сообщений: 931
	19.06.2009, 22:02
	а может и не стоит голову морочить? все равно ведь, кому нужно, обойдет это дело я по своему опыту знаю. люди защищают, пишут, используют криптографию кругом, а потом берется такой умник как я (с достаточным количеством пива) и декомпилит прогу. даже после 'победного' прохода obfuscator'ом шансы обойти все мансы - около 90%. и полетят часы/дни/недели труда именно туда... а так, почему не устраивает подписывание _своим_ private ключом? ведь если его не будешь всем раздавать, то вполне надежно 0

@vold 0 / 0 / 2 Регистрация: 17.08.2007 Сообщений: 222
	20.06.2009, 16:16
	>>а может и не стоит голову морочить полностью согласен, по-моему это только лишняя запара, и все... если сервер сам по себе хорошо засекурен, то особого смысла паристя с проверкой приложения на то, что это именно то приложение, не имеет вроде смысла. тем более, что пользователи уже достаточно продвинутый народ обычно и ввести имя и пароль для них не критичная процедура.... 0

@lamerbot 0 / 0 / 0 Регистрация: 10.01.2011 Сообщений: 33
	22.08.2011, 11:54
	Хе очень просто. После такого не поможет и цистерна пива Вобщем, Вам нужно проверять не то, что прога ваша, а то, что пользователь аутентифицирован. Такую защиту лучше всего основывать на политике открытых ключей. 0