보안/MySQL을

Question

배경

는 HTML 페이지는 사용자 이름과 암호를 입력하도록 사용자에게 요청합니다. 이것들은 MySQL 데이터베이스에 대한 자격 증명입니다 (즉, JDBC 연결에 사용되므로 물리적으로 파일에 암호가 저장되지 않습니다).

제출시 데이터베이스에 연결하려고 시도하는 서블릿이 호출됩니다. 가능한 경우 자격 증명이 올 바르고 JSP 페이지가로드됩니다. 그렇지 않은 경우 오류가 표시됩니다.

로그인이 성공하면 웹 응용 프로그램은 데이터베이스에서 SQL 쿼리/업데이트를 수행하고 Java Beans를 JSP 페이지로 반환하는 서블릿을 사용합니다. 메모리 목적으로 내가 JDBC를 추측하고있어 들어

질문

은 이전에 제공된 자격 증명을 사용하여 연결을 다시 시작해야합니다 다음 페이지를 의미 폐쇄해야합니다. 분명히 사용자는 매번 암호를 제공하고 싶지 않으므로 어쨌든 저장해야합니다. 그것들이 그 세션을위한 Java 객체/bean에 저장된다면 (평범한 텍스트가되어야 검색하고 사용할 수있다) ... 그들은 공격 받기 쉬운가? 코드 내에 텍스트로 저장하는 것이 좋지 않습니까?

누군가가 세션을 해킹하여 개체를 호출 할 수 있다고 가정하고 있습니다 (이 사실을 알고 있다면)?

어떤 대안이 있습니까?

Answer 1

새 연결을 시작하는 것이 너무 비싸므로 연결이 세션에 저장됩니다. 따라서 후속 페이지는 동일한 연결 객체를 가져옵니다.

보안은 웹 서버만큼 안전합니다. 누군가가 호스트에 액세스하여 웹 서버가 실행되는 사용자 또는 루트로 로그인 할 수 있으면 프로세스에 액세스 할 수 있습니다.

그러나 JDBC 드라이버는 사용자가 자격 증명에 액세스 할 수 없도록합니다 (그렇지 않은 전역 데이터 소스를 사용하지 않는 한). 그들은 연결 객체에서 메소드를 호출하려고 시도 할 수 있지만 실행중인 Java VM을 해킹하는 것과 같습니다. 사용 가능한 모든 보안 업데이트를 설치하지 않으면 매우 어렵습니다.