Einzelnen Beitrag anzeigen

mensch72

Registriert seit: 6. Feb 2008
838 Beiträge
 
#56

AW: Wer kann mal eben meinen Installer testen...

  Alt 8. Feb 2017, 06:15
Mavarik

Ein öffentliches REST Interface ohne besondere Sessionkey basierte Verschlüsselung zur Replaysicherheit lädt ja förmlich dazu ein, sich mal genauer das Programm und den Netzwerkdatenverkehr anzuschaun.

Und es gibt viele Zacherl "mit etwas Erfahrung" im Reverse-Engineering Bereich

Ich sage hier jetzt nur mal noch die Stichworte "Stringkonstanten" und "SharedSource", wo scheinbar für die EndUser Anwendung teils die gleichen Units wie für das eigene AdminTool verwendet und so bei Delphi voll mit eingelinkt werden... so kommt man ohne viel Aufwand nur mit dem File der ClientAnwendung und etwas Phantasie an die "Commmand&Control" Logik der Administration.

Das ist meinerseits nur ein Hinweis und keine Kritik... Wenn du für dein Projekt mit deiner Risikoanalyse für dich entscheidest, das deine Lösung ausreichend ist und du mit dem Restrisiko bezüglich deiner Kunden kulant umgehst, dann ist das eben so! Banken machen das im Bereich OnlinePayment auch nicht anders... die paar KommaProzent an Verlust aus FakeBuchungen bei z.B. Kreditkarten tollerieren die einfach weil es ihnen der nötige Zusatzaufwand für die technisch mögliche "aktuelle Standardsicherheit" nicht Wert ist.


Ist man böse wenn man an sowas auch nur denkt? NEIN!
Es gehört bei uns im Softwaretest für den Bankenbereich zum StandardAudit und läuft dabei im FullTrace-Step1 völlig ohne manuellen Zusatzaufwand.
Ich habe gerade einfach kurz mal aus Langerweile&Neugier unsere VM in VM Test-Umgebung verwendet, da hängt in der StandardAnalyse-ContainerVM eine eigene WireShark-API-Anwendung dazwischen, welche auch wenn nötig für SSL&TLS Analyse per VMware-API (RAM)SnapShots der ProbeVM Event getriggert macht.
(da du keine VM und/oder Debug Sperren in deiner Software implementiert hast, stört dich das scheinbar ja auch nicht)


Ich schicke z.B. unsere eigenen "Trading" Sachen freiwillig an einen im INet bekannten "Spezialisten" der auf seiner Warez WebSite im Prinzip 80% der weltweit in diesem Bereich verfügbaren Software "frei" anbietet. Ich habe da auch schon ein paar tausend USD via BitCoin dafür bezahlt, das er mir seine "Hacks" unserer Software wenigstens (vorab) mitteilt und beweist. Er sieht es als "Sport", wir auch!... aktuell sind wir serverseitig mit eigener Logik und clientseitig mit den Sachen von https://www.oreans.com/products.php "relativ" sicher... war&ist aber auch viel Aufwand und kostete uns auch etwas Geld.
  Mit Zitat antworten Zitat