- - PR -
アカウント情報等のローカル保存
1
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-01-17 10:37
この会議室には初めて投稿させて頂きます。宜しくお願い致します。
掲題の件なのですが、メールサーバ等にログインする際の設定情報を(比較的)セキュアに ローカル保存する方法を検討しているのですが、良い方法が見つけられないため質問させて 頂きました。 要件としましては、現在開発中のWebアプリケーション(Servlet)からメールサーバにPOPで ログインする際、必要となるアカウント名及びパスワードを外部ファイルとして配置し、 容易にアカウント情報を変更出来るようにしたいという物です。 さすがに平文のままパスワードを記述したファイルを配置する訳にはいかないため暗号化 をしたいのですが、こういったケースの場合、どの様なアルゴリズムを使用するのが ベターなのでしょうか? ハッシュで暗号化してしまいますとアプリ側でも復号化出来ないですし、共通鍵にしろ 公開鍵にしろ、結局は秘密鍵をどこかに持っている必要があると思います。 よく、メーラー等では「パスワードを保存する」といったオプションがありますが 同等の事を実装したい訳です。 Javaですとリバースエンジニアリングが容易な為、ハードコーディングによる隠蔽は 非常に危険かと認識しているのですが、どなたか良い方法をご存知でしたらご教授願いたく 宜しくお願い致します。 | ||||||||||||
|
投稿日時: 2007-01-17 10:47
こんにちは。
単純なバックアップですよね? なんか重く考えすぎているような気がします。 私には、当該ファイルにパスワード付ける位の運用で十分かと思えますけど。 修正:日本語表現訂正 [ メッセージ編集済み 編集者: BackDoor 編集日時 2007-01-17 10:49 ] | ||||||||||||
|
投稿日時: 2007-01-17 13:00
単純に暗号化したいだけなら,DESedeやAESの鍵をkeystoreファイルに格納して、それで暗号化すればよいと思いますが、鍵にアクセスするときにはパスワードが必要になります。
管理者がパスワード入力して変更したときにプログラムに通知するか、起動時にパスワードを入力させておくのなら、これでよいと思いますが、プログラムが勝手に外部ファイルを認識し、パスワードなしで復号したい場合はこれではできないだろうと思います。 InternetExplorerの鍵をCryptoAPIで使えばパスワード入力なしでも使えますが、ログオンしたときのパスワードを使っているようなものだと思っています。 | ||||||||||||
|
投稿日時: 2007-01-17 13:08
Webアプリケーションを実行するユーザ権限が決まっているのであれば、
パスワードを記載したファイルに対して、OSレベルで、 そのユーザと管理者にだけ参照権限を持たせるという方法はあります。 Webアプリ共用のユーザ権限で稼動するような場合は、完全ではありません。 | ||||||||||||
|
投稿日時: 2007-01-17 14:04
皆様、ご回答ありがとうございます。
>BackDoor様
確かにバックアップが目的であれば、提示して頂いた方法で十分ですね。 >だっちょ様
>Tasuku様
皆様、重ねてご回答有難うございました。 | ||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。