URL-Verschlüsselung in Java

Was ist der beste Weg, um verschlüsselt eine URL mit Parametern in Java?

Können Sie das konkretisieren, bitte?

InformationsquelleAutor vphomealone | 2008-09-23

  1. 3

    Der einzige Weg, dies zu tun ist die Verwendung von SSL/TLS (https). Wenn Sie verwenden plain old HTTP, die URL wird auf jeden Fall in Klartext gesendet.

    InformationsquelleAutor Neall

  2. 2

    Leider fast hier ist einfach in java 🙂 , für dieses einfache und übliche Aufgabe, die ich war nicht in der Lage zu finden eine vorbereitete Bibliothek, landete ich schreiben das (dies war die Quelle):

     import java.net.URLDecoder;
import java.net.URLEncoder;

import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEParameterSpec;

/**
 * An easy to use class to encrypt and decrypt a string. Just call the simplest
 * constructor and the needed methods.
 * 
 */

public class StringEncryptor {
private Cipher encryptCipher;
private Cipher decryptCipher;
private sun.misc.BASE64Encoder encoder = new sun.misc.BASE64Encoder();
private sun.misc.BASE64Decoder decoder = new sun.misc.BASE64Decoder();

final private String charset = "UTF-8";
final private String defaultEncryptionPassword = "PAOSIDUFHQWER98234QWE378AHASDF93HASDF9238HAJSDF923";
final private byte[] defaultSalt = {

(byte) 0xa3, (byte) 0x21, (byte) 0x24, (byte) 0x2c,

(byte) 0xf2, (byte) 0xd2, (byte) 0x3e, (byte) 0x19 };

/**
 * The simplest constructor which will use a default password and salt to
 * encode the string.
 * 
 * @throws SecurityException
 */
public StringEncryptor() throws SecurityException {
    setupEncryptor(defaultEncryptionPassword, defaultSalt);
}

/**
 * Dynamic constructor to give own key and salt to it which going to be used
 * to encrypt and then decrypt the given string.
 * 
 * @param encryptionPassword
 * @param salt
 */
public StringEncryptor(String encryptionPassword, byte[] salt) {
    setupEncryptor(encryptionPassword, salt);
}

public void init(char[] pass, byte[] salt, int iterations) throws SecurityException {
    try {
        PBEParameterSpec ps = new javax.crypto.spec.PBEParameterSpec(salt, 20);

        SecretKeyFactory kf = SecretKeyFactory.getInstance("PBEWithMD5AndDES");

        SecretKey k = kf.generateSecret(new javax.crypto.spec.PBEKeySpec(pass));

        encryptCipher = Cipher.getInstance("PBEWithMD5AndDES/CBC/PKCS5Padding");

        encryptCipher.init(Cipher.ENCRYPT_MODE, k, ps);

        decryptCipher = Cipher.getInstance("PBEWithMD5AndDES/CBC/PKCS5Padding");

        decryptCipher.init(Cipher.DECRYPT_MODE, k, ps);
    } catch (Exception e) {
        throw new SecurityException("Could not initialize CryptoLibrary: " + e.getMessage());
    }
}

/**
 * 
 * method to decrypt a string.
 * 
 * @param str
 *            Description of the Parameter
 * 
 * @return String the encrypted string.
 * 
 * @exception SecurityException
 *                Description of the Exception
 */

public synchronized String encrypt(String str) throws SecurityException {
    try {

        byte[] utf8 = str.getBytes(charset);

        byte[] enc = encryptCipher.doFinal(utf8);

        return URLEncoder.encode(encoder.encode(enc),charset);
    }

    catch (Exception e)

    {
        throw new SecurityException("Could not encrypt: " + e.getMessage());
    }
}

/**
 * 
 * method to encrypting a string.
 * 
 * @param str
 *            Description of the Parameter
 * 
 * @return String the encrypted string.
 * 
 * @exception SecurityException
 *                Description of the Exception
 */

public synchronized String decrypt(String str) throws SecurityException {
    try {

        byte[] dec = decoder.decodeBuffer(URLDecoder.decode(str,charset));
        byte[] utf8 = decryptCipher.doFinal(dec);

        return new String(utf8, charset);

    } catch (Exception e) {
        throw new SecurityException("Could not decrypt: " + e.getMessage());
    }
}

private void setupEncryptor(String defaultEncryptionPassword, byte[] salt) {

    java.security.Security.addProvider(new com.sun.crypto.provider.SunJCE());

    char[] pass = defaultEncryptionPassword.toCharArray();

    int iterations = 3;

    init(pass, salt, iterations);
}

    }

    InformationsquelleAutor Denis

  4. 1

    Kommt es auf Ihre Bedrohung-Modell. Zum Beispiel, wenn Sie möchten, schützen Sie die Parameter gesendet, die von Ihrer Java-app auf Ihren server von einem Angreifer mit Zugriff auf den Kommunikationskanal, sollten Sie die Kommunikation mit dem server über TLS/SSL (D. H. HTTPS in deinem Fall) und mag. Wenn Sie möchten, schützen Sie die Parameter von einem Angreifer, der Zugriff auf den Rechner hat, wo Sie Ihre Java-client-app läuft, dann bist du in tiefere Schwierigkeiten.

    InformationsquelleAutor Alexander

  5. 1

    Wenn Sie wirklich nicht verwenden kann, SSL, würde ich vorschlagen, ein pre-shared-key-Ansatz und das hinzufügen einer zufälligen iv.

    Können Sie jedem anständigen symmetrischen Verschlüsselungsverfahren ab. AES mit einem pre-shared key, den Sie kommunizieren sind out-of-band (E-Mail, Telefon, etc.).

    Anschließend erzeugen Sie einen zufälligen Initialisierungsvektor und verschlüsseln Sie Ihren Text mit dieser iv und dem Schlüssel. Schließlich Sie verketten Sie Ihre Chiffre-text und die iv und senden Sie diese als parameter. Die iv vermittelt werden können, in der klar und ohne jedes Risiko.

    InformationsquelleAutor Oli

  6. 0

    Den standard-Weg zur Verschlüsselung von HTTP-Datenverkehr ist, um SSL zu verwenden. Doch auch über HTTPS, die URL und alle Parameter (d.h. eine GET-Anforderung) werden in Klartext gesendet. Würden Sie benötigen, um SSL zu verwenden und führen Sie eine POST-Anforderung ordnungsgemäß verschlüsseln Ihre Daten.

    Wie bereits in den Kommentaren Parameter verschlüsselt werden, egal, welche HTTP-Methode, die Sie verwenden, solange Sie eine SSL-Verbindung verwenden.

    Ist das richtig? Bei der Verwendung von SSL/TLS, dachte ich, dass die URL verschlüsselt wurde, als parameter an den HTTP-Befehl (z.B. GET, POST). Die domain wird in Klartext gesendet, aber ich denke, der rest ist verschlüsselt innerhalb des TLS-Teil des Pakets.
    Nicht wahr. Die DNS-Anfrage gesendet wird, wird das klar. Dann einen SSL-tunnel eingerichtet ist. Dann wird der HTTP-request - einschließlich der URI — geschickt wird, durch diesen tunnel.

    InformationsquelleAutor Dónal Boyle

  7. 0

    Sind Sie sicher, dass Sie nicht meine URL Kodieren?

    Codierung ist über java.net.URLEncoder.encode.

    InformationsquelleAutor Internet Friend

Schreibe einen Kommentar