Проверка целостности клиентского приложения

@C_MEX · Регистрация: 17.06.2009

Студворк — интернет-сервис помощи студентам

Привет.
Есть JBoss и Swing клиент к нему (через WebStart). Хочется проверить, что к серверу цепляется 'правильный' клиент. Кто-нить такое делал?

@mr_dronski · 18.06.2009, 14:32

если не вдаваться в подробности с подписыванием джаров (это как нужно делать), то можно либу просто прогнать через хеш и, если какие изменения малейшие - контрольная сумма не та. тут возникает проблема с версиями продуктов, которую нужно будет решать самому.

поэтому лучше почитать про подписанные либы

@vold · 18.06.2009, 18:24

Смотря что понимается под солвом 'правильный' и под словом 'клиент'

Если клиент - это человек, а правильный это тот, которому разрешено выполнять некие операции, то тут вступает в действие JBossSX...

@C_MEX · 19.06.2009, 10:05 **[ТС]**

Под правильным клиентом понимается клиентское приложение написанное мной. Подписывать ДЖАры уже приходилось, т.к. клиент запускается через Java WebStart с полными правами на компьютере. Если клиент подписан, как мне проверить с сервера что клиент подписан мною?

Уже после того, как я убежусь, что клиентское приложение написано мною, можно будет у пользователя спрашивать имя и пароль, или еще что-то. Видимо тут я узнаю о заявленном JBossSX.

С авторизацией и прочим я пока новичек, и поэтому вопросы могут быть глупыми, заранее сорри.

@mr_dronski · 19.06.2009, 22:02

а может и не стоит голову морочить? все равно ведь, кому нужно, обойдет это дело

я по своему опыту знаю. люди защищают, пишут, используют криптографию кругом, а потом берется такой умник как я (с достаточным количеством пива) и декомпилит прогу. даже после 'победного' прохода obfuscator'ом шансы обойти все мансы - около 90%. и полетят часы/дни/недели труда именно туда...

а так, почему не устраивает подписывание _своим_ private ключом? ведь если его не будешь всем раздавать, то вполне надежно

@vold · 20.06.2009, 16:16

>>а может и не стоит голову морочить
полностью согласен, по-моему это только лишняя запара, и все...
если сервер сам по себе хорошо засекурен, то особого смысла паристя с проверкой приложения на то, что это именно то приложение, не имеет вроде смысла.
тем более, что пользователи уже достаточно продвинутый народ обычно и ввести имя и пароль для них не критичная процедура....

@lamerbot · 22.08.2011, 11:54

Хе очень просто. После такого не поможет и цистерна пива

Вобщем, Вам нужно проверять не то, что прога ваша, а то, что пользователь аутентифицирован. Такую защиту лучше всего основывать на политике открытых ключей.

Новые блоги и статьи Все статьи Все блоги /
Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .	Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .	Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .	Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .
модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .	Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ

@C_MEX 0 / 0 / 0 Регистрация: 17.06.2009 Сообщений: 7

	Проверка целостности клиентского приложения 18.06.2009, 07:00. Показов 2121. Ответов 6 Метки нет (Все метки) Привет. Есть JBoss и Swing клиент к нему (через WebStart). Хочется проверить, что к серверу цепляется 'правильный' клиент. Кто-нить такое делал? 0

@mr_dronski 4 / 4 / 1 Регистрация: 13.08.2008 Сообщений: 931
	18.06.2009, 14:32
	если не вдаваться в подробности с подписыванием джаров (это как нужно делать), то можно либу просто прогнать через хеш и, если какие изменения малейшие - контрольная сумма не та. тут возникает проблема с версиями продуктов, которую нужно будет решать самому. поэтому лучше почитать про подписанные либы 0

@vold 0 / 0 / 2 Регистрация: 17.08.2007 Сообщений: 222
	18.06.2009, 18:24
	Смотря что понимается под солвом 'правильный' и под словом 'клиент' Если клиент - это человек, а правильный это тот, которому разрешено выполнять некие операции, то тут вступает в действие JBossSX... 0

@C_MEX 0 / 0 / 0 Регистрация: 17.06.2009 Сообщений: 7
	19.06.2009, 10:05 [ТС]
	Под правильным клиентом понимается клиентское приложение написанное мной. Подписывать ДЖАры уже приходилось, т.к. клиент запускается через Java WebStart с полными правами на компьютере. Если клиент подписан, как мне проверить с сервера что клиент подписан мною? Уже после того, как я убежусь, что клиентское приложение написано мною, можно будет у пользователя спрашивать имя и пароль, или еще что-то. Видимо тут я узнаю о заявленном JBossSX. С авторизацией и прочим я пока новичек, и поэтому вопросы могут быть глупыми, заранее сорри. 0

@mr_dronski 4 / 4 / 1 Регистрация: 13.08.2008 Сообщений: 931
	19.06.2009, 22:02
	а может и не стоит голову морочить? все равно ведь, кому нужно, обойдет это дело я по своему опыту знаю. люди защищают, пишут, используют криптографию кругом, а потом берется такой умник как я (с достаточным количеством пива) и декомпилит прогу. даже после 'победного' прохода obfuscator'ом шансы обойти все мансы - около 90%. и полетят часы/дни/недели труда именно туда... а так, почему не устраивает подписывание _своим_ private ключом? ведь если его не будешь всем раздавать, то вполне надежно 0

@vold 0 / 0 / 2 Регистрация: 17.08.2007 Сообщений: 222
	20.06.2009, 16:16
	>>а может и не стоит голову морочить полностью согласен, по-моему это только лишняя запара, и все... если сервер сам по себе хорошо засекурен, то особого смысла паристя с проверкой приложения на то, что это именно то приложение, не имеет вроде смысла. тем более, что пользователи уже достаточно продвинутый народ обычно и ввести имя и пароль для них не критичная процедура.... 0

@lamerbot 0 / 0 / 0 Регистрация: 10.01.2011 Сообщений: 33
	22.08.2011, 11:54
	Хе очень просто. После такого не поможет и цистерна пива Вобщем, Вам нужно проверять не то, что прога ваша, а то, что пользователь аутентифицирован. Такую защиту лучше всего основывать на политике открытых ключей. 0