Zabezpieczenie konfiguracji bazy danych

Witam, od jakiegoś czasu pisze program w którym przed rozpoczęciem pracy trzeba się zalogować(wysyłam zapytanie z loginem i hasłem(zaszyfrowane) i sprawdzam czy istnieje) , apliakcja pisana w javaFx + hibernate.

Jako że do sprawdzenia poprawności danych potrzebne jest połączenie się z bazą , potrzebne są i dane do niej które są zaszyte gdzieś w programie i tutaj moje pytanie, jak się zabezpieczyć przed ich wyciągnięciem? istnieje coś takiego jak inżynieria wsteczna która prawdopodobnie pozwoli na wyciągniecie hosta, loginu i hasła do bazy, może moje założenia są błęde i takie zagadnienia rozwiązuje sie w całkiem inny sposób, prosze o pomoc w rozwiązaniu tego problemu.

Nigdy nie wstawiaj informacji o połączeniu z bazą danych do aplikacji.
Zawsze można podejrzeć hasło, jak nie przy pomocy reverse-engineeringu, to przy wykorzystaniu sniffera bądź innych narzędzi.

Stwórz backend działający po stronie serwera, który będzie formą API i to z nim łącz się w programie.

Nie bardzo rozumiem pytanie. Skoro to jest lokalna aplikacja na komputerze użytkownika to co za różnica co zrobisz z tym loginem i hasłem skoro baza jest u usera? A jeśli baza stoi gdzieś w internecie a ty się z aplikacji z nią łączysz to NIE ŁĄCZ SIĘ BEZPOŚREDNIO tylko podstaw prostą aplikację RESTową którą można odpytać o autentykacje i autoryzacje. Wtedy potrzebujesz w aplikacji znać tylko adres hosta, ale on tajny być nie musi.

Tylko że ja nie mam żadnego serwera teraz , jest program klienci i baza danych to tyle, poza tym jak by miało takie API działać? bo troszeczke ciężko mi sobie to wyobrazić.

Shalom napisał(a):

Nie bardzo rozumiem pytanie. Skoro to jest lokalna aplikacja na komputerze użytkownika to co za różnica co zrobisz z tym loginem i hasłem skoro baza jest u usera? A jeśli baza stoi gdzieś w internecie a ty się z aplikacji z nią łączysz to NIE ŁĄCZ SIĘ BEZPOŚREDNIO tylko podstaw prostą aplikację RESTową którą można odpytać o autentykacje i autoryzacje. Wtedy potrzebujesz w aplikacji znać tylko adres hosta, ale on tajny być nie musi.

Baza jest gdzieś w necie

No to jak to nie masz serwera? A baza to na czym stoi niby? Musisz po prostu napisać prostą aplikacje webową która dostaje login i hasło i odpowiada czy są poprawne / odsyła listę uprawnień danego użytkownika. Ta aplikacja ma dostęp do bazy, ale użytkownik nie ma do niej fizycznego dostępu więc nie może jej reversować. Użytkownik ma tylko swoją kliencką aplikację która zna jedynie adres URL tej webowej aplikacji.

Czyli taka architektura grubego klienta. Może porób wielu użytkowników bazodanowych, i niech osoby logując się w programie podają nazwę użytkownika i hasło właśnie tego konta bazodanowego (zamiast zaszywać je w programie), a uprawnienia do poszczególnych tabel, operacji, procedur składowanych ponadajesz po stronie bazy.

@nunczako10259b8 A co jak ci powiem że można zabić bazę mając uprawienia tylko i wyłącznie do selecta na jakiejś jednej tabeli? Spróbuj kiedyś zobaczyć co się stanie jak walniesz zapytanie z wielokrotnymi cross-joinami i sortowaniem rekordów. Jak jakaś lepsza baza (Oracle na przykład) to już całkiem mogiła jak zacznie sortować z użyciem dysku. Użytkownik nie powinien mieć bezpośredniego dostępu do produkcyjnej bazy i już.

To rozwiązanie ma na pewno wiele wad, ale próbowałem się dostosować do wymagań. Zresztą nakładanie ograniczeń dostępu może się pokłócić z Hibernatem, bo on lubi sobie generować różne dziwne zapytania.