AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Datenbanken Delphi Sicherheitsfrage zu MySQL
Thema durchsuchen
Ansicht
Themen-Optionen

Sicherheitsfrage zu MySQL

Ein Thema von alleinherrscher · begonnen am 18. Mär 2010 · letzter Beitrag vom 7. Mai 2010
Antwort Antwort
Benutzerbild von alleinherrscher
alleinherrscher

Registriert seit: 8. Jul 2004
Ort: Aachen
797 Beiträge
 
Delphi XE2 Professional
 
#1

Sicherheitsfrage zu MySQL

  Alt 18. Mär 2010, 14:29
Datenbank: MySQL • Version: ... • Zugriff über: libmysql.dll
Hi@all.

Ich bastele gerade an einer Online Registrierung für meine Programme. Bisher funktioniert dies so:

1) Ich verbinde mich per libmysql.dll mit dem MySQL Server im Internet. Username und Passwort werden im Programm miteinkompiliert. Das Programm überprüft in der DB einige Einträge (Besitzt der Benutzer xyz, mit dem Passwort zyx eine Lizenz für das Program "Test"?) und schreibt anschließend einen Eintrag in eine Tabelle, die alle lizenzsierten Computer beinhaltet.

2) Ich habe also Lese und Schreibzugriff auf die DB. Was mir etwas Sorgen macht, ist, dass die Benutzerdaten, welche diese beim Kauf der Software eingeben, sowie deren Benutzername und Passwort in klartext in der DB stehen.

Meine Frage: Wie sicher ist mein Vorgehen? Reichen MySQL-Benutzername und Passwort aus, um eine Datenbank mit sämtlichen Useraccounts in Klartext abzusichern? Oder haltet ihr das für "grob fahrlässig?"

Vielen Dank für eure Hilfe,
Michael
„Software wird schneller langsamer als Hardware schneller wird. “ (Niklaus Wirth, 1995)

Mein Netzwerktool: Lan.FS
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.202 Beiträge
 
Delphi 10.4 Sydney
 
#2

Re: Sicherheitsfrage zu MySQL

  Alt 18. Mär 2010, 14:43
Zitat von alleinherrscher:
Oder haltet ihr das für "grob fahrlässig?"
Ja ist es. Gib mir die Exe und in 5 Minuten lege ich alle Kundendaten in irgendeine Tauschbörse und lösche "vorsorglich" deinen Datenbestand!

Sowas solltest du über eine WebServerice mit SOAP oder einfacher JSON machen. Dort aber auch die Abfragen absichern das man nicht einfach die Übermittelste Daten per Sniffer abgreift und dann selbst munder seriennummern durchprobiert.
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
Benutzerbild von s.h.a.r.k
s.h.a.r.k

Registriert seit: 26. Mai 2004
3.159 Beiträge
 
#3

Re: Sicherheitsfrage zu MySQL

  Alt 18. Mär 2010, 14:59
Schau dir auch mal gesaltete ("gesalzene") MD5-Hashes an! Ebenso hat MySQL ja eine eigene PASSWORT-Methode für SQL-Queries.
»Remember, the future maintainer is the person you should be writing code for, not the compiler.« (Nick Hodges)
  Mit Zitat antworten Zitat
Benutzerbild von DeddyH
DeddyH

Registriert seit: 17. Sep 2006
Ort: Barchfeld
27.625 Beiträge
 
Delphi 12 Athens
 
#4

Re: Sicherheitsfrage zu MySQL

  Alt 18. Mär 2010, 15:03
Die PASSWORD-Methode ist aber zwischenzeitlich schon einmal umgestellt worden, so dass eine Konvertierung notwendig wurde. Von daher würde ich persönlich MD5 bevorzugen.
Detlef
"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen." (Albert Einstein)
Dieser Tag ist längst gekommen
  Mit Zitat antworten Zitat
Benutzerbild von s.h.a.r.k
s.h.a.r.k

Registriert seit: 26. Mai 2004
3.159 Beiträge
 
#5

Re: Sicherheitsfrage zu MySQL

  Alt 18. Mär 2010, 15:19
Zitat von DeddyH:
Die PASSWORD-Methode ist aber zwischenzeitlich schon einmal umgestellt worden, so dass eine Konvertierung notwendig wurde. Von daher würde ich persönlich MD5 bevorzugen.
UI, das ist super zu wissen. Weißt du auch wann das der Fall war? (Version)
»Remember, the future maintainer is the person you should be writing code for, not the compiler.« (Nick Hodges)
  Mit Zitat antworten Zitat
Benutzerbild von DeddyH
DeddyH

Registriert seit: 17. Sep 2006
Ort: Barchfeld
27.625 Beiträge
 
Delphi 12 Athens
 
#6

Re: Sicherheitsfrage zu MySQL

  Alt 18. Mär 2010, 15:34
IIRC von 4.0 auf 4.1. Siehe Artikel hier.
Detlef
"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen." (Albert Einstein)
Dieser Tag ist längst gekommen
  Mit Zitat antworten Zitat
Benutzerbild von alleinherrscher
alleinherrscher

Registriert seit: 8. Jul 2004
Ort: Aachen
797 Beiträge
 
Delphi XE2 Professional
 
#7

Re: Sicherheitsfrage zu MySQL

  Alt 19. Mär 2010, 07:33
Zitat von s.h.a.r.k:
Schau dir auch mal gesaltete ("gesalzene") MD5-Hashes an! Ebenso hat MySQL ja eine eigene PASSWORT-Methode für SQL-Queries.
Das hört sich interessant an, was genau ist eine PASSWORT-Methode (bin ein relativer DB Neuling, sorry, wenn die Frage ein wenig unerfahren klingt)? Habt ihr etwas Beispielcode?

Grüße
Michael
„Software wird schneller langsamer als Hardware schneller wird. “ (Niklaus Wirth, 1995)

Mein Netzwerktool: Lan.FS
  Mit Zitat antworten Zitat
samso

Registriert seit: 29. Mär 2009
439 Beiträge
 
#8

Re: Sicherheitsfrage zu MySQL

  Alt 19. Mär 2010, 18:13
Damit ist wohl nur gemeint, dass MySql eine eigene Methode hat das Passwort zu verschlüsseln. Dieses zumindest wird nicht unverschlüsselt übers Netz gejagt. Alles andere ist aber unverschlüsselt.
  Mit Zitat antworten Zitat
madDocGothly

Registriert seit: 7. Mai 2010
2 Beiträge
 
#9

Re: Sicherheitsfrage zu MySQL

  Alt 7. Mai 2010, 11:12
nicht unbedingt, bei MySQL kannst Du auch SSL konfigurieren !

Liebe Grüße, madDoc
  Mit Zitat antworten Zitat
Benutzerbild von HeikoAdams
HeikoAdams

Registriert seit: 12. Jul 2004
Ort: Oberfranken
661 Beiträge
 
FreePascal / Lazarus
 
#10

Re: Sicherheitsfrage zu MySQL

  Alt 7. Mai 2010, 12:15
Wir haben unsere Lizenzprüfung vor einiger Zeit auf SOAP umgestellt, so das unsere Anwendungen nur noch eine SOAP-Funktion mit einigen Parameterns aufrufen und als Ergebnis Ja oder Nein zurück bekommen, ohne das irgendwelche Benutzernamen und Passwörter übertragen werden müssen.
Da unsere Lizenzen hardwaregebunden sind und wir die Erstinstallation der Software für den Kunden durchführen, ist es für uns vertretbar, das die Lizenznummern im Klartext über das Netz gesendet werden.
Jeder kann ein Held werden und Leben retten!
Einfach beim NKR oder der DKMS als Stammzellenspender registrieren! Also: worauf wartest Du noch?
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 16:54 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz