Hallo!
Zitat von
devnull:
ohne das PW im klartext zu hinterlegen und zu ver-
senden ????
Hinterlegen: speichere das PW verschlüsselt.
Versenden: Wie soll das denn gehen?
Der
FTP-Server muß doch das PW bekommen, um es zu prüfen. Der Versuch, einen eigenen Server zu schreiben, der das PW verschlüsselt erhält, ist sinnlos. Denn wer diese Verschlüsselung kennt, kommt an den Server ran. Man könnte dann nur noch was schreiben, daß der Server regelmäßig was an Dein Programm schickt und darauf eine passende Antwort erhält - fehlt diese, ist jemand ohne Dein Programm angemeldet. Wenn der Hacker aber auch proggen kann und den Ablauf der Sicherheitsabfragen herausbekommt, kann Dein Programm gefälscht werden.
Das ist ja überall das Problem: Wer ein PW als Zugang zu seinem Programm einrichtet, kann eine Hash-Verschlüsselung benutzen und die gehashte Benutzereingabe mit dem Gespeicherten vergleichen. Wer dagegen ein PW zur Benutzung speichert (Kennwort für Internet-Zugang, eMail-Adresse etc.), muß das PW aus der hoffentlich verschlüsselten Speicherung wieder errechnen können. Wird dann ein TEdit benutzt und PasswordChar gesetzt, kann ich mittels entsprechender (auch als Freeware und ohne Installation erhältlicher Programme) dem Edit eine Nachricht schicken, daß das PasswordChar gelöscht wird und -
da steht das PW im Klartext im Edit.
Gruß
Dietmar Brüggendiek