 |
 |
 |
 |
 |
|
Antwort
|
|
|
|
Registriert seit: 27. Apr 2008 Ort: Rahden 630 Beiträge |
#1
AW: Verbindungsdaten verstecken
23. Nov 2012, 11:50
Laut
 diesem Post gibt es schon seit Firebird 1.5 Password Hashes anstatt eines Klartext Passworts.
Code:
Man sieht, dass SYSDBA und masterkey schön lesbar im Protokoll stehen. (Ich habe das mit der Standardkonfig getestet)
...
0070 04 55 54 46 38 39 04 0f 00 00 00 1c 06 53 59 53 .UTF89.......SYS 0080 44 42 41 1d 09 6d 61 73 74 65 72 6b 65 79 47 04 DBA..masterkeyG. ... |
Zitat
|
Registriert seit: 15. Jun 2010 Ort: Augsburg Bayern Süddeutschland 3.470 Beiträge Delphi XE3 Enterprise |
#2
AW: Verbindungsdaten verstecken
23. Nov 2012, 12:23
@joachimd
Thomas Wassermann H₂♂
Das Problem steckt meistens zwischen den Ohren DRY DRY KISS H₂♂ (wenn bei meinen Snipplets nichts anderes angegeben ist Lizenz: WTFPL) |
|
Zitat
|
Registriert seit: 10. Jun 2002 Ort: Jena 1.128 Beiträge Delphi 10.4 Sydney |
#3
AW: Verbindungsdaten verstecken
23. Nov 2012, 16:53
Peter
+++Versuch es nicht mit Gewalt + Nimm einen größeren Hammer! +++ |
|
Zitat
|
Registriert seit: 24. Okt 2006 Ort: Seifhennersdorf / Sachsen 5.436 Beiträge Delphi 12 Athens |
#4
AW: Verbindungsdaten verstecken
23. Nov 2012, 16:56
Zitat:
Dazu gab es mal in im Usenet einen netten Beitrag (ich glaube von Marian Aldenhövel): pack die Daten unverschlüsselt in die readme - die liest sowieso keiner.
Aber bei Plattenplatzproblemen fliegen die zuerst weg. 
|
|
Zitat
|
|
Registriert seit: 10. Jun 2002 Ort: Jena 1.128 Beiträge Delphi 10.4 Sydney |
#5
AW: Verbindungsdaten verstecken
23. Nov 2012, 22:50
...die Idee ist gut.
Aber bei Plattenplatzproblemen fliegen die zuerst weg. 
Peter
+++Versuch es nicht mit Gewalt + Nimm einen größeren Hammer! +++ |
|
Zitat
|
Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.372 Beiträge Delphi 12 Athens |
#6
AW: Verbindungsdaten verstecken
24. Nov 2012, 10:54
Du hat eine kleine SSD im Schlepptop und davon sind schon von Anfang an mindestens 50% zugemüllt (z.B. von den Delphi-Installern, welche eine nutzlose Kopie von sich anlegen) und dann noch 1-2 Filme in FullHD3D, noch ein/zwei Quellcodes und schon is die Platte voll.
Ein Therapeut entspricht 1024 Gigapeut.
|
|
Zitat
|
|
Registriert seit: 10. Jun 2002 Ort: Jena 1.128 Beiträge Delphi 10.4 Sydney |
#7
AW: Verbindungsdaten verstecken
24. Nov 2012, 13:33
Laut
diesem Post gibt es schon seit Firebird 1.5 Password Hashes anstatt eines Klartext Passworts.
Code:
...
0070 04 55 54 46 38 39 04 0f 00 00 00 1c 06 53 59 53 .UTF89.......SYS 0080 44 42 41 1d 09 6d 61 73 74 65 72 6b 65 79 47 04 DBA..masterkeyG. ... Mit dem Debugger?
Peter
+++Versuch es nicht mit Gewalt + Nimm einen größeren Hammer! +++ |
|
Zitat
|
|
Registriert seit: 27. Apr 2008 Ort: Rahden 630 Beiträge |
#8
AW: Verbindungsdaten verstecken
24. Nov 2012, 16:07
|
|
Zitat
|
|
Registriert seit: 14. Apr 2008 3.010 Beiträge Delphi 2009 Professional |
#9
AW: Verbindungsdaten verstecken
25. Nov 2012, 08:55
Gerade noch mal nachgesehen (Firebird 2.5, aktuelle .NET Provider)
Code:
Man sieht, dass SYSDBA und masterkey schön lesbar im Protokoll stehen. (Ich habe das mit der Standardkonfig getestet)
...
0070 04 55 54 46 38 39 04 0f 00 00 00 1c 06 53 59 53 .UTF89.......SYS 0080 44 42 41 1d 09 6d 61 73 74 65 72 6b 65 79 47 04 DBA..masterkeyG. ... Oha! Ich hatte mich auf diesen Artikel "verlassen": Password hashes used in Firebird 1.5
Zitat:
"When I listen my network traffic (e.g. with wireshark) I see that after the
username a password hash follows. This password hash consists of 11 charakters." Auf dieser Seite - Details of the Security Changes in Firebird 2.0 - werden für Firebird 1.5 clientseitig erzeugte Passwort Hashes erwäht - aber auch eine Änderung in 2.0, nach der die Hashes serverseitig (!) erzeugt werden. Nun klingt "serverseitige Hash-Erzeugung" wirklich so, als ob der Client dem Server ein Klartext-Passwort schickt und der Server es hasht (und den Hash in der security2.fdb speichert).Damit wäre Firebird für Einsatz über unsichere Verbindungen (ohne VPN) eigentlich unbrauchbar... p.s. auch innerhalb VPN besteht natürlich das gleiche Problem, sicher ist das Passwort nur zwischen den Netzen, denn beim VPN-Partner dann ist es es wieder unverschlüsselt.
Michael Justin
Geändert von mjustin (25. Nov 2012 um 10:59 Uhr) |
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Hybrid-Darstellung
