Visual Basic Forum

raptor0576 · Tutorial Leser Anmeldedatum: 03.05.2008 Beiträge: 20

hi.
also in einem projekt sind die accountdaten zu einem sql server innerhalb des codes vorhanden, da man diese ja zum einloggen braucht...

könnten diese irgendwie ausgelesen werden?
dass man programme manipulieren und ihre routinen verfolgen kann ist klar aber kann man wirklich cleartext auslesen?

mfg

tr4st · Überflieger Anmeldedatum: 16.04.2008 Beiträge: 486

Strings kann man im Klartext auslesen alles andere wird in ASM angezeigt.

Administrator · Poster Anmeldedatum: 16.04.2008 Beiträge: 153

Du kannst dir eine supertolle Verschlüsselung einfallen lassen, nur bringt diese nichts.
Weil in dem Moment in dem die Verbingung hergestellt werden soll werden die Daten im Klartext an den Server geschickt und können so mitgesnifft werden.

Marduk · Überflieger Anmeldedatum: 16.04.2008 Beiträge: 374

Du könntest das ganze aber auch verschlüsselt an ein php-Skript senden, welches dann deine Anfrage verarbeitet. Das hat den Vorteil, dass nur das php-Skript direkt auf den SQL-Server mit dem Passwort zugreift Wink

raptor0576 · Tutorial Leser Anmeldedatum: 03.05.2008 Beiträge: 20

das problem an der php variante ist dass ich ziemlich häufig viele anfragen sende, und die ganze prozedur von einem weiteren zeitfaktor also dem webserver abhängt...

gibts noch ne andere art ?

danke schonmal
mfg

Marduk · Überflieger Anmeldedatum: 16.04.2008 Beiträge: 374

Naja, ich meine der SQL-Server muss die Anfragen ja auch alle bewältigen, dadurch wird dein Code auch aufgehalten. Von daher, wäre der Zeitunterschied auch nicht größer.
Das wäre in meinen Augen die optimalste in Bezug auf Sicherheit. Ne Überlegung wäre vielleicht noch, deine Anfragen auf zwei SQL-Server aufzuteilen, dann wäre die Last bei einem Server nicht so hoch.

ZiG · Überflieger Anmeldedatum: 16.04.2008 Beiträge: 421

Einzelne Zeichen der Passwörter im Coder erstmal mit Chr$() zusammen setzen.
So sind sie schonmal nicht als Klartext einfach per OllyDbg zu erkennen.

Dann sollte dein Programm natürlich crypted sein.
Und die Variante mit dem php Script würde das ganze dann schon ziemlich sicher machen.

The-God-of-all · Tutorial Leser Anmeldedatum: 01.05.2008 Beiträge: 35

Wobei man dann immer noch das PHP Skript finden kann und dann über das PHP Skript SQL Befehle ausführen, was heißt, dass wenn das PHP Skript nicht gut genug gesichert ist es immer noch genau so unsicher ist. Musst du die Daten nur Lesen oder auch schreiben?
Weil es gibt soweit ich weiß die Möglichkeit einen MySQL Benutzer einzurichten der nur bestimmte Tabellen lesen kann und das mit einer Beschränkung der maximalen Querys (um evtl. Flooden vorzubeugen).

Marduk · Überflieger Anmeldedatum: 16.04.2008 Beiträge: 374

Ok, es war ja nur die Rede von den Logindaten Very Happy

Dass das php Skript auch eine Schwachstelle darstellt, ist wahr. Wie du schon sagst kann man dafür den SQL-Benutzer anpassen.
Aber das System wird nie sicher sein, man kann es lediglich dem "Einbrecher" erschweren sprich Obfuscation wäre da eine Möglichkeit, hat ZiG ja schon angedeutet. Oder du sendest an das php Skript neben dem Query/Logindaten auch irgendeinen scheiss, oder sendest die wichtigen Sachen in einzelen Stücken und lässt es vom Skript zusammensetzen. Der Phanatsie sind keine Grenzen gesetzt Very Happy

security by obscurity!

sollniss · Überflieger Anmeldedatum: 01.05.2008 Beiträge: 699

themida oder armadillo schützen vorm reversen

jojo4ever · Tutorial Leser Anmeldedatum: 01.05.2008 Beiträge: 42

@sollniss:
Aber nicht vom Sniffen, oder?

Marduk · Überflieger Anmeldedatum: 16.04.2008 Beiträge: 374

Ne, vor dem Sniffen kann man es nicht schützen. Dafür kann man aber die Daten verschlüsseln und halt Blödsin mitschicken und das ganze richtig unübersichtlich verschicken.

mastermaefju · Newbie Anmeldedatum: 06.05.2008 Beiträge: 12

(sollniss;2057)

themida oder armadillo schützen vorm reversen