h41msh1c0r
Goto Top

Installation Java Programm und TrustStore mit Klartextkennwort

Aloa in die Runde,

mir kommen hier regelmäßig Anwendungen über den Tisch die in irgendeiner Form Bereitgestellt werden müssen.

Jetzt ist mal wieder eine dabei, mal wieder eine Java Anwendung.

Installation soweit kein Thema, allerdings muss im Zertifikate Store von Java ein Zertifikat hinzugefügt werden.

Soweit auch kein Problem.

Was mich nur etwas stutzig macht ist folgendes:

3 Identify the trust store to the client application.

   In the command that launches the client application, use the -D option to specify the following properties:

   javax.net.ssl.trustStore=trustStoreFile
   javax.net.ssl.trustStorePassword=trustStorePassword

Ist mit diesem Schritt nicht das Zertifikategedöhns total sinnlos?
Wenn ich irgendwo das StoreFile UND das passende Passwort im Klartext mitgebe, wer wird dann dran gehindert dort im Store Schindluder zu treiben?

Oder sehe ich das zu paranoid?

VG

Content-Key: 451189

Url: https://administrator.de/contentid/451189

Printed on: June 16, 2024 at 05:06 o'clock

Member: phartmann
phartmann Jun 06, 2019 at 15:01:23 (UTC)
Goto Top
Die Frage ist, wer kommt an die Sourcen dran, wohin kommuniziert das System, irgendwelche Backdoors, wie unternehmenskritisch ist der Store, ....
Leider nach wie vor Tagesgeschäft, dass Passwörter zusammen mit trustedFiles im Klartext gespeichert werden.
Member: H41mSh1C0R
H41mSh1C0R Jun 06, 2019 at 16:26:09 (UTC)
Goto Top
Danke für deine Antwort, mittlerweile hat sich das Thema erledigt, da trotz Speichern des Zertifikates im Store UND nutzen des Kennwortes die Anwendung nicht funktioniert.

Die Anwendung ist denke schon kritisch, auch wenn der Nutzerkreis sehr gering ist.

Die Verfahrenweise den Store + Kennwort im Klartext zu nutzen find ich trotzdem abartig.