JAVA MYSQL API

http://www.codemercenary.de/2009/11/java-mysql-tutorial.html

falls du die benutze abfragen möchtest erstellst du eine neue Tabelle mit den usern und den passwörtern. So als Tipp nutze einen Verschlüsselungsalgorythmus und speicher die Passwörter nicht im Klartext.

Wenn du das programm aufrufst machst du ein Loginfeld mit user und pw das prüfst du dann gegen die hinterlegten werte aus der tabelle.

Zitat von moeck

So als Tipp nutze einen Verschlüsselungsalgorythmus und speicher die Passwörter nicht im Klartext.

-> MD5-Hash eignet sich da gut und ist soweit ich weiß DSGVO konform

Zitat von blackfisch

> MD5-Hash eignet sich da gut und ist soweit ich weiß DSGVO konform

MD5 ist ungeeignet nimm lieber SHA512 bzw. SHA2048

Zitat von blackfisch

-> MD5-Hash eignet sich da gut und ist soweit ich weiß DSGVO konform

Du verarscht dich damit doch gerade selbst, oder? Ein MD5-Hash mag vielleicht DSGVO konform sein, allerdings ist es ein leichtes einen Brute-Force-Angriff auf einen MD5-Hash zu machen, weil:

Zitat von https://security.stackexchange.com/questions/19906/is-md5-considered-insecure

MD5 for passwords

Using salted md5 for passwords is a bad idea. Not because of MD5's cryptographic weaknesses, but because it's fast. This means that an attacker can try billions of candidate passwords per second on a single GPU.

What you should use are deliberately slow hash constructions, such as scrypt, bcrypt and PBKDF2. Simple salted SHA-2 is not good enough because, like most general purpose hashes, it's fast. Check out How to securely hash passwords? for details on what you should use.

MD5 for file integrity

Using MD5 for file integrity may or may not be a practical problem, depending on your exact usage scenario.

The attacks against MD5 are collision attacks, not pre-image attacks. This means an attacker can produce two files with the same hash, if he has control over both of them. But he can't match the hash of an existing file he didn't influence.

I don't know if the attacks applies to your application, but personally I'd start migrating even if you think it doesn't. It's far too easy to overlook something. Better safe than sorry.

The best solution in this context is SHA-2 (SHA-256) for now. Once SHA-3 gets standardized it will be a good choice too.

Alles anzeigen

Nutze einfach einen SHA-256-Hash, oder wie moeck bereits schrieb, einen SHA-512-Hash oder SHA-2048-Hash zum Speichern der Passwörter. Für deine Zwecke würde das, was die Sicherheit angeht, denke ich ausreichen. Ansonsten nutze PBKDF2- oder bcrypt-Hashing.

Zitat von Jack Cooper

Hallo liebe Community,

wie einige ja wissen, erstelle ich JAVA Programme welche ich auch teils zum Download anbiete.

Vor kurzem habe ich bei meinem Post Vorstellung einiger JAVA Programme einen Kommentar von Finch erhalten.

Meine frage ist jetzt, ob sich jemand auskennt oder Tutorials kennt, wie man solch eine API erstellt. Ich selber habe keine Ahnung davon, wäre aber daran interessiert sowas zu erlernen und in Zukünftigen Programmen einzubauen.

Vielen Dank im voraus.

Wenn du Hilfe beim schreiben einer API benötigst, helfen wir dir bei PlayNet, wie Finch bereits schrieb, gerne dabei. Komm dazu einfach den PlayNet Discord Server https://discord.gg/QMs8qh .

Jack Cooper Als einfaches Beispiel könntest du für eine API, wobei API hier eine Schnittstelle für einen öffentlichen Zugriff meint, über das HTTP-Protokoll oder sogar das gRPC-Protokoll erstellen.

Das einzige, was für dich wahrscheinlich ungewohnt sein könnte, ist eine Authentifizierung zu schreiben, denn das schien ja bei den ersten Versionen deiner Programme ja noch nicht wirklich zu existieren - bis auf Klartext-Benutzername und Passwort von MySQL, usw.

Zitat von script /Vincent/dev/null

Du verarscht dich damit doch gerade selbst, oder?

Ich verrsche hier gar nix.

Ob du es glaubst oder nicht, ich bin auch nicht allwissend und kann auch mal was von mir geben, das falsch ist. Achte also du lieber, oh allwissender Vincent, darauf wie du auftrittst

blackfisch Ich wollte damit nur deutlich machen, dass es in keiner Weise eine gute Idee sei, heutzutage zur Absicherung noch MD5-Hashes zu nutzen. Es ist halt einfach unfassbar wichtig, dass diese riesige Unsicherheit bekannt ist - und darauf habe ich damit wohl deutlich hingewiesen.

Mag aber sein, dass die Wortwahl falsch getroffen ist und mein Sarkasmus im Textformat nicht ganz rüber kommt.

SHA-512 wurde nie dafür entwickelt um es wieder zu entschlüsseln wenn du etwas brauchst um zu entschlüsseln wird eher AES genutzt

Wenn du ein Passwort vergleichen willst, musst du das Passwort das du bekommst auch mit SHA-512 hashen um herauszufinden ob das Passwort stimmt aber wie Vincent schon erwähnt hatte würde für Passwörter eher bcrypt (nutze ich meist) oder PBKDF2

für Java gibts da bestimmt bereits anwendungen oder libraries (habe bisher noch nie Java genutzt)

Aber wenn du nach "Rest API Java" googlest findest du bestimmt etliche Guides wie über HTTP eine API gebaut werden kann

Jack Cooper Wie wäre es damit? https://github.com/jeremyh/jBCrypt