AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Netzwerke Delphi Manipulation beim Übertragen von Daten erkennen.
Thema durchsuchen
Ansicht
Themen-Optionen

Manipulation beim Übertragen von Daten erkennen.

Ein Thema von Hedge · begonnen am 26. Nov 2009 · letzter Beitrag vom 29. Nov 2009
Antwort Antwort
Seite 1 von 2  1 2      
Hedge

Registriert seit: 30. Jun 2007
278 Beiträge
 
Delphi 2009 Professional
 
#1

Manipulation beim Übertragen von Daten erkennen.

  Alt 26. Nov 2009, 17:44
Ich habe ein Delphi-Programm das Daten an ein php-Script schickt.
Die Verbindung ist mit SSL gesichert.

Die Daten werden via POST übertragen und sind im Moment nicht extra verschlüsselt.
Jetzt möchte ich aber verhindern, dass Jemand das PHP-Script selbst aufruft und mit POST-Daten füttert.
Wenn er sich selbst da was zurechtbastelt bzw. er versucht Daten zu manipulieren, dann muss das vom PHP-Script erkannt werden.

Ich belese mich zwar zum Thema Kryptografie, aber steht trotzdem auf dem Schlauch da es nicht unbedingt darum geht die zu übermittelnde Nachricht zu verschleiern sondern eine Manipulation zu verhindern.

Prüfsummen machen ja Sinn, aber die kann Jemand der davon Ahnung sich auch selber ausrechnen.
٩๏̯͡๏)۶
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#2

Re: Manipulation beim Übertragen von Daten erkennen.

  Alt 26. Nov 2009, 20:12
Selbser habe ich damit noch nicht gearbeitet, aber Client SSL Zertifikate würden es ermöglichen, dass der Server nur die Verbindungen von authorisierten Clients annimmt.

http://de.wikipedia.org/wiki/Hyperte...rotocol_Secure

http://it.toolbox.com/blogs/security...ificates-11500

Auch ein Client-Zertifikat kann natürlich "gestohlen" werden (so wie ein Autoschlüssel...) - und "SSL-Verbindungen sind grundsätzlich gefährdet durch Man-in-the-middle-Angriffe, bei denen der Angreifer den Datenverkehr zwischen Client und Server abfängt bzw. sich als Zwischenstelle ausgibt." - http://de.wikipedia.org/wiki/Hyperte...rotocol_Secure

Cheers,
Michael Justin
habarisoft.com
  Mit Zitat antworten Zitat
Hedge

Registriert seit: 30. Jun 2007
278 Beiträge
 
Delphi 2009 Professional
 
#3

Re: Manipulation beim Übertragen von Daten erkennen.

  Alt 26. Nov 2009, 21:46
Wie du schon sagst.
Auch die Client-Zertifikate können ausgehebelt werden und Man In The Middle-Attacken sind genau das dem ich versuche entgegenzuwirken.

Wir wäre es wenn ich alle Daten die an das Script geschickt werden sollen logisch zusammenfasse, symetrisch verschlüssele. Dann berechne ich davon einen Hashwert und häng den noch ans Ende der Daten ran?
٩๏̯͡๏)۶
  Mit Zitat antworten Zitat
Benutzerbild von Matze
Matze
(Co-Admin)

Registriert seit: 7. Jul 2003
Ort: Schwabenländle
14.929 Beiträge
 
Turbo Delphi für Win32
 
#4

Re: Manipulation beim Übertragen von Daten erkennen.

  Alt 26. Nov 2009, 22:02
Wenn deine Software das verschlüsselt und man das wirklich knacken will, dann schafft man das auch dann. Man kann Veränderungen im RAM auslesen, die Software disassemblieren etc. pp. Das Passwort, mit dem du verschlüsselst, steht in der Exe (wenn auch versteckt) und den Algorithmus selbst kann man auch auslesen.
Das ist doch wie mit diesen ganzen Cracks. Da gibt es Leute, die lesen den Algorithmus zur Prüfung der Seriennummern aus und erstellen damit Tools, die zufällige, gültige Seriennnummern generieren.

Erschweren werden solche Maßnahmen den potentiellen Angriff eines Normalbenutzer sicherlich, aber ob es bei sowas hundertprozentige Sicherheit gibt, bezweifel ich etwas.
  Mit Zitat antworten Zitat
Hedge

Registriert seit: 30. Jun 2007
278 Beiträge
 
Delphi 2009 Professional
 
#5

Re: Manipulation beim Übertragen von Daten erkennen.

  Alt 26. Nov 2009, 22:07
Die Normalbenutzer sind schonmal wegen SSL und Hash-Checks der Werte im RAM außenvor.
Wenn ich jetzt noch die dran hindere die vielleicht schonmal nen SoftICE-Tutorial gelesen haben, dann bin ich glücklich.

Hab hier im Nebenraum so einen Hacker-Spezi, aber der ist weniger kommunikativ, deswegen frage ich hier nach.
٩๏̯͡๏)۶
  Mit Zitat antworten Zitat
mjustin

Registriert seit: 14. Apr 2008
3.006 Beiträge
 
Delphi 2009 Professional
 
#6

Re: Manipulation beim Übertragen von Daten erkennen.

  Alt 27. Nov 2009, 07:30
Die Banken haben doch diese TAN-Listen (bzw. iTAN), das wäre doch eine relativ sichere Lösung?

Nachteil: die Benutzer müssen dann vorab eine Liste von TAN Nummern erhalten.

Wenn es eine einfachere Lösung gäbe, die gegen Missbrauch und Hacking sicher ist, würden die Banken die ja sonst sicher schon lange einsetzen.

Auch eine TAN Liste und eine Chipkarte oder einen Tokengenerator kann man natürlich klauen - illegale Handlungen in einem Sicherheitskonzept zu berücksichtigen, ist nicht leicht

Cheers,
Michael Justin
habarisoft.com
  Mit Zitat antworten Zitat
Hedge

Registriert seit: 30. Jun 2007
278 Beiträge
 
Delphi 2009 Professional
 
#7

Re: Manipulation beim Übertragen von Daten erkennen.

  Alt 27. Nov 2009, 08:57
Merk schon dass das ganz schön hart ist.

Vom Benutzer verlangen TAN-Nummern einzugeben ist schon wieder zu viel des Guten (Im Angesichts des Zwecks des Programms).

Habt ihr noch andere Ideen?

Wie wäre denn das was ich schon unten beschrieben habe:

Zitat:
Wir wäre es wenn ich alle Daten die an das Script geschickt werden sollen logisch zusammenfasse, symetrisch verschlüssele. Dann berechne ich davon einen Hashwert und häng den noch ans Ende der Daten ran?
Klar ist das auch nicht so toll weil es ja auch reverse-engineert werden kann, aber ich könnte den Algorithmus ja immer mal wieder verändern.
Habe schon eingebaut dass der Benutzer zum Programm-Update gewzungen wird.
٩๏̯͡๏)۶
  Mit Zitat antworten Zitat
Benutzerbild von p80286
p80286

Registriert seit: 28. Apr 2008
Ort: Stolberg (Rhl)
6.659 Beiträge
 
FreePascal / Lazarus
 
#8

Re: Manipulation beim Übertragen von Daten erkennen.

  Alt 27. Nov 2009, 15:23
Hallo Hedge,

wär das hier vielleicht etwas für Dich?
Sicherer dateiheader....

Gruß
K-H
Programme gehorchen nicht Deinen Absichten sondern Deinen Anweisungen
R.E.D retired error detector
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#9

Re: Manipulation beim Übertragen von Daten erkennen.

  Alt 28. Nov 2009, 00:06
Dein Program soll automatisch ohne zb. Benutzerpasswörter bzw. echte Benutzerzertifikate arbeiten ? Wenn ja ist es nur mit kryptographischer Hardware sicher zu bekommen, die du zu deinem Program herausgibts.

Mein des öftern zitiertes Beispiel mit der Wäscheleine. Möchtest du eine Wäscheleine aufspannen dann benötigst du zwei stabile Pfosten. Du hast einen Pfosten schon unter Kontrolle, nämlich deinen Server mit dem PHP Script. Den Pfosten "Client und Clientsoftware" hast du nur im Griff wenn
a) der Client selber ein ernsthaftes Interesse an einer sicheren Verbindung hat und entweder bei dir registriert ist und Passwörter/Zertifikate benutzt, oder
b) der Client eine einbruchsichere Hardware benutzt die schlußendlich du kontrolliert, siehe Smartcard, FitzChip, Palladium, Trusted Plattform Alliance/Management, HDTV/HDMI. Diese Allianzen wissen schon was sie wie und warum tuen.

Ich persönlich würde dann a) bevorzugen bevor ich über b) keine wahre Kontrolle mehr über meinen Rechner und damit meine Daten habe.

Gruß Hagen
  Mit Zitat antworten Zitat
Hedge

Registriert seit: 30. Jun 2007
278 Beiträge
 
Delphi 2009 Professional
 
#10

Re: Manipulation beim Übertragen von Daten erkennen.

  Alt 28. Nov 2009, 14:06
Danke p80286, da ich gerade wenig Zeit habe, schaue ich morgen mal rein was da so geschrieben wurde.

@negah:
Alle Benutzer sind registriert und beim Aufruf des Scripts werden auch Benutzername und ein Hash des Passworts mit übertragen um denjenigen zu authentifizieren.
Darüber hinaus muss er einen zufälligen Token mitliefern den ihm der Server irgendwann mal gegeben hat und der nur 1 Mal und auf diesen Nutzer beschränkt gültig ist.

Die Frage ist nur inwieweit das einen registrierten Nutzer daran hindert manipulierte Daten an das Script zu schicken, wobei die Manipulation unerkannt bleibt, sobald er die 3 obigen Informationen zur Verfügung hat.
٩๏̯͡๏)۶
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:23 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz