AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

"Passwortsicherheit" von Komponenten

Ein Thema von Berni68 · begonnen am 27. Mai 2011 · letzter Beitrag vom 27. Mai 2011
Antwort Antwort
Seite 1 von 2  1 2      
Berni68

Registriert seit: 9. Jan 2006
Ort: Villingen
162 Beiträge
 
Delphi XE5 Professional
 
#1

"Passwortsicherheit" von Komponenten

  Alt 27. Mai 2011, 10:48
Hallo zusammen,

mir fällt leider kein geeigneter Titel ein, deshalb beschreibe ich einfach mal mein Problem:

Wenn man z.B. die Komponente TIdFTP nutzt, Host, Username
und Passwort im Objektinspektor hinterlegt, wie einfach/schwer ist es, aus der .exe (wie auch immer) diese Infos wieder rauszuholen und damit den FTP-Zugang zu knacken?

Hab in diesem Bereich keine Ahnung und wäre für ein paar
Infos/Hinweise auch weiterführende Links dankbar.
Bernhard
  Mit Zitat antworten Zitat
Benutzerbild von nachti1505
nachti1505

Registriert seit: 7. Apr 2007
188 Beiträge
 
Delphi 7 Enterprise
 
#2

AW: "Passwortsicherheit" von Komponenten

  Alt 27. Mai 2011, 10:51
Sehr einfach... wird dann in der Regel im Klartext in deiner exe gespeichert!
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.639 Beiträge
 
#3

AW: "Passwortsicherheit" von Komponenten

  Alt 27. Mai 2011, 10:51
Wenn man z.B. die Komponente TIdFTP nutzt
Ganz ehrlich: Vergiss es.

Wireshark anschmeissen und den Netzwerktraffic beim FTP-Connect auslesen.
Da kannst Du innerhalb der .exe so viel Aufwand treiben wie Du willst um das Passwort zu schützen - aber bei FTP geht das letzendlich immer unverschlüsselt über die Leitung und da ist es am einfachsten Abzufangen.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.196 Beiträge
 
Delphi 10.4 Sydney
 
#4

AW: "Passwortsicherheit" von Komponenten

  Alt 27. Mai 2011, 10:52
Wenn man z.B. die Komponente TIdFTP nutzt, Host, Username
und Passwort im Objektinspektor hinterlegt, wie einfach/schwer ist es, aus der .exe (wie auch immer) diese Infos wieder rauszuholen und damit den FTP-Zugang zu knacken?
Solang kein DAU am werk ist, hat man diese Infos in weniger als 1 Minute. Diese Infos liegen im Klartext vor.
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
Berni68

Registriert seit: 9. Jan 2006
Ort: Villingen
162 Beiträge
 
Delphi XE5 Professional
 
#5

AW: "Passwortsicherheit" von Komponenten

  Alt 27. Mai 2011, 11:01
Und wie ist es wenn man bei TIdFTP TLS verwendet?

Was gibt es für Alternativen?
Bernhard
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.063 Beiträge
 
Delphi 12 Athens
 
#6

AW: "Passwortsicherheit" von Komponenten

  Alt 27. Mai 2011, 11:03
Lösung: Wenn schon FTP (oder sonstwas), dann nur über einen eingeschränkten FTP-Benutzer, damit nix Schlimmes passieren kann.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.582 Beiträge
 
Delphi 11 Alexandria
 
#7

AW: "Passwortsicherheit" von Komponenten

  Alt 27. Mai 2011, 11:30
Warum muss es denn FTP statt einer normalen Lösung via HTTP sein?
Sebastian Jänicke
Alle eigenen Projekte sind eingestellt, ebenso meine Homepage, Downloadlinks usw. im Forum bleiben aktiv!
  Mit Zitat antworten Zitat
Berni68

Registriert seit: 9. Jan 2006
Ort: Villingen
162 Beiträge
 
Delphi XE5 Professional
 
#8

AW: "Passwortsicherheit" von Komponenten

  Alt 27. Mai 2011, 11:48
Habe mal Wireshake runtergeladen und installiert:
Im unverschlüsselten Modus von TIdFTP war es wirklich deprimierend einfach Host User und Pass zu erhalten.
Bei TIdFTP mit TSL geht das Passwort nicht zumindest nicht unverschlüsselt über die Bühne. Kann man es trotzdem noch knacken?

@jaenicke es muss nicht FTP sein.
Habe mal den Ansatz gewählt weil es einfach erschien.

Meine Absicht:
Ich stelle Nutzern die Daten sammeln müssen ein Programm zur Verfügung,
das die Daten auf einem WebServer ablegt (Idee/Ansatz->FTP),

Ist das mit HTTP so auch möglich? Da ist doch ein Problem mit dem Webspace Provider und dem zurückschreiben oder?
Bernhard
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.639 Beiträge
 
#9

AW: "Passwortsicherheit" von Komponenten

  Alt 27. Mai 2011, 12:01
Habe mal Wireshake runtergeladen und installiert:
Im unverschlüsselten Modus von TIdFTP war es wirklich deprimierend einfach Host User und Pass zu erhalten.
Bei TIdFTP mit TSL geht das Passwort nicht zumindest nicht unverschlüsselt über die Bühne. Kann man es trotzdem noch knacken?
Im Prinzip ja, denn Client-Software und Server müssen sich ja über den Schlüssel einig werden. Hier kannst Du weiter lesen, das ist aber tatsächlich schon um einiges aufwändiger als mit reinem FTP.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
Satty67

Registriert seit: 24. Feb 2007
Ort: Baden
1.566 Beiträge
 
Delphi 2007 Professional
 
#10

AW: "Passwortsicherheit" von Komponenten

  Alt 27. Mai 2011, 12:28
Wie sieht es mit asymetrischer Verschlüsselung aus.

Die Daten mit dem öffentlichen Schlüssel encrypten und an den Server senden. Dort erst mit dem privaten Schlüssel decrypten.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:06 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz