Applet的頁面代碼保護問題淺析--IT地帶
 首頁 新聞 安徽 體育 財經 黃梅 旅游 軍事 娛樂 法治 教育 伊人 健康
繁體中文
 IT 彩信 讀書 汽車 演藝 音樂 徽商 書庫 郵件 論壇 賀卡 相冊 交友
簡體中文
精彩圖庫 業界動態 觀察分析 手機數碼 電腦教室 軟件下載 游戲人間 本地市場
精彩推薦
v上海青年報:第三方秘密介入盛大購股事件
v信產部回應固話月租費之爭 稱將以市場解決
v英特爾與微軟默契聯手 PC即將步入64位時代
v手機生產核准制出臺 8家企業最有望首批領牌
vWAPI再遭國際組織不公正對待 先做行業標准
v入門級未必簡陋 索愛K300i實機搶先體驗
v韓國現代抄襲索愛 多媒體手機MP100搶先看
v《帝國時代3》上市日期和游戲前瞻
vSpike忍者系列最新作《忍道 戒》新畫面
精彩圖片
  您當前的位置 :IT地帶 > 電腦教室 > 程序設計 正文
Applet的頁面代碼保護問題淺析

中安網  2005-03-02 12:48

  IT168.com網2月28日報道 Java語言是目前網上最流行的編程語言之一,自從1995年5月SUN公司開發出該語言以來,它已經從一種編程語言演化為一個廣泛應用的計算平臺,其『編寫一次,到處運行』的跨平臺優勢更是給整個網絡安全帶來了巨大的變革。由於它的安全設計起點高,也吸引了不少好奇的眼光。但是,Java程序的源代碼很容易被別人偷看!通過反編譯器,可以十分容易分析出代碼。那麼,Java平臺是如何來實現它的安全呢?

  不少開發者喜歡用一些Java Applet給某個頁面加上密碼,從而達到保護敏感頁面的目的。仔細分析,我們會發現兩個問題:其一,由於Java Applet是要下載到客戶端執行的,所以任何人都可以得到其*.class文件,再利用Java反編譯器或者反匯編器對其進行逆向工程,從而分析出其中所用到的算法和涉及到的隱藏的URL;其二,Java Applet能夠讀取的URL不安全,很容易被別人所讀取。看來,這是Java Applet網頁保護一個重大缺陷!

  1、AWP保護方式分析

  AWP的正式名稱是Applet Web Password,其演示地址為:http://shareit1.element5.com/programs.html?productid=106801&language=English&reseller=IS。它先將用戶名、密碼、所要保護的頁面的URL經過加密之後嵌入到html源碼中,作為啟動該applet的參數。當訪問者輸入正確的用戶名和密碼之後,該applet纔把正確的URL顯示給來訪者,這樣只有經過身份認證的來訪者纔能看到被保護的頁面的URL。

  下面是一個例子,其中user1、user2就是密文。Applet Web Password的發行包裡面帶有一個小程序專門根據用戶名、密碼、被保護的URL生成相應的密文。

  

  可見,這種保護方式有先天缺陷。因為任何人都可以察看嵌有該applet的html源碼,這樣可以得到用戶名、密碼和URL的密文。而該applet的class文件也可以下載到本地進行分析。有了密文和解碼算法,自然可以輕易地得到明文。因為它必須采用可逆算法纔能恢復要保護的URL,從而直接得到被保護的URL,所以也可以分析Applet Web Password中加密程序的加密算法,從而找出解碼算法。

  [1]  [2]  [3]  下一頁
編輯: 丁毅
 ?【相 關 報 道】?
-ASP教程:怎樣寫好自己的程序代碼   05-01-27 13:23
-水滴石穿C語言之代碼檢查工具   04-12-28 11:13
-【圖文】查看網頁代碼的超級放大鏡   04-12-22 11:19
-為電腦重裝討『說法』 藍屏死機代碼大揭秘   04-11-26 11:46
-Visual Basic程序代碼優化的六條軍規   04-11-05 11:02
 

中國安徽在線網站(中安在線)版權所有 未經允許 請勿復制或鏡像
皖ICP證 030106號