0

すべての DB 資格情報を WARcontext.xmlファイルに保存し、JNDI を介してそれらをロードし始めました。このようにして、私のアプリは複数の領域で同じ資格情報を再利用でき、JNDI を使用してそれらを取得できます (コードベース全体に資格情報をまき散らすのではなく)。

しかし、今考えているのは、Tomcat サーバーがインストールされているマシンに攻撃者が侵入したらどうなるかということです。彼らは私の webapps/MyApp 展開されたディレクトリに直接行き、ディレクトリを見つけて開くことができましたcontext.xml.出来上がり-彼らは私のデータベースにアクセスできるようになりました!

では、ここにセキュリティを導入するための次のステップは何ですか? すべての資格情報をキーストアに保持し、そのラベルを内部から参照する方法はありますcontext.xmlか? context.xmlJDBCコードがJNDIを介して資格情報にアクセスできるように、引き続き使用したいと思います。context.xmlもしそうなら、安全な方法でそれらにどのようにアクセスしますか? ここでセキュリティを扱う通常の方法は何ですか? 前もって感謝します!

4

1 に答える 1

0

検索する前にユーザー名や名前を暗号化するものを検索する代わりに、xml ファイルに送信される前にデータを暗号化する暗号化システムを構築することをお勧めします。このようにして、人がファイルに侵入できたとしても、暗号化に使用されるアルゴリズムがなく、見つけたいものを正確に知らなければ、それを読むことはできません. 理論的には、ブルート フォース攻撃を実行できますが、そのためにはアルゴリズムを知る必要があります。暗号化を処理する簡単な方法は、 http://www.bouncycastle.org/で弾む城のライブラリの使用方法を学ぶことです。彼らは非常に使いやすく、学習しやすいシステムを持っています。

于 2013-08-06T20:43:10.253 に答える