シナリオは次のとおりです。デスクトップ Java アプリケーションが、開発者の制御の及ばないランダムなコンピューターで実行されています。そのアプリケーションは、同じコンピューターにインストールされている MySQL サーバーに接続します。
データベースのログイン資格情報をローカル ユーザーから保護する方法はありますか?
クライアントとデータベースの両方を備えたローカル PC の管理者として、資格情報がシステムのどこかにある必要があるため、完全なセキュリティを要求しても無駄であると想像できます。デスクトップ アプリにパスワードをハードコーディングするのが最善の策ではないかと考えています。私はそれが大したことではないことを知っていますが、このような場合、より良い代替手段はありますか?
それらを対称的に暗号化されたファイルに保持し、キーをアプリケーションにハードコードすることができます。これは少なくとも、パスワードを変更できることと、怠惰なローカルいじくり回しに対して基本的な保護を行うこととの間の妥協点です。
データベースのログイン資格情報をローカル ユーザーから保護する方法はありますか?
短い答えはノーです。
何をしても1、ユーザー名とパスワード (またはその他の形式の資格情報) は、ローカル ユーザーがスキルと動機を持っていると仮定して、アクセスできます。
1 -トラステッド プラットフォーム モジュールのアプローチでさえ、完全に安全というわけではありません。IIRC、誰かが電子顕微鏡を使ってTPMセキュリティの突破に成功。これは通常の状況では実際的な攻撃ではありませんが、反対に、ユーザーからマシンの制御を奪うシステムを TPM 上に構築することは、ほとんどの環境では受け入れられません。