問題タブ [jasypt]

javascriptで暗号化する方法を知っている人はいますか(おそらくsjclを使用しますか?)、webappに投稿し、javaで復号化しますか?

フォーム データの一部を傍受し、暗号化してから、春のアプリケーションに投稿したいと考えています。? すでにデータベース暗号化に jasypt PBEWITHSHA256AND128BITAES-CBC-BC アルゴリズムを使用しています。

jsf ファイルから useradd() を呼び出すと、次のエラーが発生します

なぜこれが起こっているのか教えてください。

float 値を暗号化する必要があり、これを実現するために Jasypt を使用しています。

私の知る限り、Jasypt は float 暗号化をサポートしておらず、BigDecimal のみをサポートしています。したがって、浮動小数点値を BigDecimal に変換しています。

変換は正常に行われます。また、Jasypt を使用した暗号化と復号化。

ただし、暗号化された値を Oracle DB に永続化すると、DB で値が変更されます。

そのまま保持する必要がある値の例:

-6542850164453273769179743775075308980128742113.12 -4139490689573544701682206282760323584523816140.64 9936653106931456268018508106437020093773774849.6 -69457501008740608752977363196163239676824308939.2 -512974351190591202428175056439128604458367.320048

オラクルで Number データ型を使用しています。

問題は、DB に変更を許可せずに上記の値を保存する方法です。

DB は常に値から ( . ) を削除し、ゼロを追加します。

This value 689612971966376606053641908553771273056281.427984 is saved as: -217333936122185596255723452297898520757000000000000000000000000000000000000000000000000000000000000000000000000000000000000

なぜこれが起こるのですか？

休止状態の一種の古いバージョンを使用する、EXAMPLE と呼ばれる DB を使用する既存のアプリケーションがあります。

ユーザーのパスワードはorg.jasypt.hibernate.type.EncryptedStringTypeとして保存されます

いつもこのようになっているかどうかはわかりませんが、基本的に、ユーザーのクエリを実行すると、パスワードが自動的に復号化されるため、クリアテキストになります。

ここで、まったく同じデータベースで、新しい Web アプリケーション (webapp2 と呼びます) が実行されています。これは、パスワードを別の方法で暗号化し、解読できない方法で暗号化します。

私が求められたのは、古いユーザーを「新しい方法」に移行することでした。私がしたことは、3 つのモジュールを含む Maven プロジェクトを作成することでした。

• module1 (別名 oldie) は、古い方法でデータベースにクエリを実行できるはずです (そのため、ユーザー テーブルに対するクエリごとに、ユーザーのパスワードをクリア テキストで取得できます)。
• module2 (別名 newie) は、新しい方法でデータベースにクエリを実行するだけです。
• module3には、module1 の UserService と module2 の UserService をそれぞれ使用してユーザー パスワード (クリア テキスト) を読み取り、新しい方法に戻すダミー クラスが 1 つある必要があります。

問題: 私が直面しているのは、module3がさまざまなバージョンの休止状態ライブラリを処理しなければならないなど、さまざまな問題に直面していることです。

module3の構成(これらはすべて Spring アプリケーションです) で、module1 と module2 の両方からサービスと daos を自動配線しているため、多くの混乱が生じ、最終的には問題が発生します。

起こっているように見えるのは、sessionFactories または daos (今のところ) のインスタンス化を不可能にする依存関係が混在していることです。

どんな助けでも大歓迎です。

Java プロジェクトで Jaspyt と Spring 3 を使用しています。現在、データベース接続プロパティをプロパティ ファイルに保存しています。ユーザー名とパスワードはプレーン テキストなので、Jaspyt の EncryptablePropertyPlaceholderConfigurer の使用を検討しています。

ドキュメントとチュートリアルでは、復号化に使用するマスター パスワードを環境変数に保存することを提案しています。プロパティファイルにプレーンテキスト値を保存するよりも安全ですか? 誰かがボックスを侵害した場合、マスター パスワードは (1) 環境変数または (2) サーバー起動スクリプトのいずれかに表示されませんか? 環境変数を手動で設定し、サーバーの起動後に設定を解除できると思いますが、その手動プロセスは管理できないようです。

私はただ妄想的ですか？接続のユーザー名とパスワードを保護するために使用したアプローチはありますか?

SQL Server で Java を使用しており、暗号化されていないクレジット カード列を含むテーブルがあります。AES 暗号化を使用して列内のすべてのフィールドを暗号化するにはどうすればよいですか?

SQL または Java (jdbc または hibernate) ソリューションで十分です。

Jasypt を使用して将来の値を暗号化したいのですが、既存の値を暗号化する方法がわかりません。

これは、私が使用する jasypt-spring 暗号化定義です。

Javaベースのソフトウェアでパスワードの暗号化復号化にJASYPTを使用しています。これが、パスワードを暗号化する方法です。

さて、上記のコードで使用されているこのPASSWORD_ENCRYPTION_KEYをどこにどのように保存する必要がありますか？これらのキーをJavaプログラムに保存してアクセスするための最も安全または一般的な方法は何ですか？

ありがとう、ディープ

Android でJasyptを使用して暗号化機能を提供しています。

SHA-1 でパスワードをハッシュするために使用しており、バイナリ データを暗号化するために使用しようとしています。

Jasypt は現在 PBEWithMD5AndDES を使用しています

PBEWithMD5AndDES についてはよくわかりませんが、保存するデータ (パスワード、ユーザー名など……..) などの機密データを保存するには安全ではないことは理解しています。

PBEWithMD5AndDES を使い続けるか、別の暗号化アルゴリズムを使用する必要がありますか?

また、PBEWithMD5AndDES が Android でサポートされている唯一のアルゴリズムであることも理解しており、これにはサードパーティの API を検討する必要があります。

背景を説明するために、私のチームと私は、ユーザー名とパスワードをデータベースに保存するプログラムを作成しています。Java を使用しており、Java コードを介してデータベースと対話しています。

Jasypt を使用して、ユーザー名とパスワードを暗号化します。Jasypt で BasicPasswordEncryptor を使用して両方を暗号化しています。ユーザー名は正常に暗号化され、データベースに正常に保存されます。ただし、ログインがチェックされ、BasicPasswordEncryptor が暗号化されたパスワードに対してプレーンテキストのユーザー名をチェックしようとすると、常に false が返されます。問題が発生している場所に焦点を当てるために、一連のチェックを行いました。私の知る限り、これは Jasypt の問題です。問題が何であるか、可能な解決策、またはより最適な方法を知っている人はいますか? ありがとうございました。コードを掲載します。

ここで暗号化が行われます。

「e」は BasicPasswordEncryptor オブジェクトです。ログインチェックはこちら。