Oppure

Loading
10/07/10 14:44
giuseppe93
salve a tutti! forse non è la sezione giusta e forse anche il titolo non è molto azzeccato, quindi mi scuso fin da subito, comunque leggendo questo post pierotofy.it/pages/extras/forum/2/1011074-scoprire_la_password_di_questo_sorgente/ mi è venuto in mente quali sono le "procedure" per evitare di farsi scoprire le password scritte nel sorgente??
aaa
10/07/10 15:09
Semplice ... non scriverle nel sorgente.
10/07/10 16:11
netarrow
Di solito si calcola sulla password un'impronta di messaggio, e poi si fa il confronto su quella.

Per rendere più difficile il risalire dall'hash al testo originale si usano di solito salt e iterazioni durante il calcolo dell'impronta.

Cercando su google o direttamente qui su pierotofy.it trovi molti articoli.
aaa
10/07/10 17:02
HeDo
Postato originariamente da nessuno:

Semplice ... non scriverle nel sorgente.


già... mi ricorderò sempre una frase tratta da un testo di reverse engineering, faceva circa così: "if you hard-code a password, get ready to recompile over and over"

in poche parole, è così semplice da scoprire, nonostante molti furbi giochetti che si possono applicare, che non vale la pena di farlo.
aaa
10/07/10 18:54
TheKaneB
un programma che uso spesso, no$gba (un emulatore di GBA e Nintendo DS), usa uno schema di password particolare... questa password (lunga un centinaio di caratteri) contiene i dati dell'utente (ottenuti tramite la registrazione della licenza), dati random e dati di emulazione (cioè pezzi dell'emulatore stesso), il tutto criptato in qualche modo...

Può essere un'idea :-)
aaa
11/07/10 9:12
XBarboX
Io per un mio programma ho fatto così:
Avevo un file testo che conteneva le credenziali per accedere al database locale e certamente non potevo lasciarle in chiaro...
Allora ho fatto così: Le password le ho criptate e nelle varie classi che ho fatto per quel programma ne ho fatta una anche una per criptare e decriptare, in modo da proteggere i dati.
Però ora mi sorge un dubbio: in java ottenere il codice sorgente da un file .class è piuttosto difficile vero? Perchè se riesce a mettere mano nel sorgente tutto questo lavoro è servito a nulla... Di decompiler ne so nulla.
aaa
11/07/10 9:14
qualcuno
Quoto nessuno e aggiungo:
è anche inutile farlo, perchè se il tuo obbiettivo è "faccio inserire all'utente una password, se è uguale ad x allora faccio continuo nell'esecuzione del programma, altrimenti lo chiudo" allora sì può anche fare a meno di conoscere la password, basta individuare il punto o i punti dove fai il controllo ed magari invertire la logica dei controlli(usare qualche nop, etc...). La cosa ovviamente può essere molto più complicata(molti cicli dove fai i controlli, controlli a blocchi, istruzioni inutili,etc) e può servire a confondere le idee ad un reverser poco esperto(ma molto poco esperto :rofl: ).
Ultima modifica effettuata da qualcuno 11/07/10 9:15
aaa
11/07/10 9:16
netarrow
in java ottenere il codice sorgente da un file .class è piuttosto difficile vero?


no, se il codice non è offuscato è una bazzecola.
aaa