AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Sprachen und Entwicklungsumgebungen Sonstige Werkzeuge UPX - Wer hat aktuelle Erfahrungen damit?
Thema durchsuchen
Ansicht
Themen-Optionen

UPX - Wer hat aktuelle Erfahrungen damit?

Ein Thema von musicman56 · begonnen am 7. Nov 2013 · letzter Beitrag vom 8. Nov 2013
Antwort Antwort
Seite 3 von 5     123 45      
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.648 Beiträge
 
Delphi 11 Alexandria
 
#21

AW: UPX - Wer hat aktuelle Erfahrungen damit?

  Alt 7. Nov 2013, 20:16
Wofür braucht man für ein Update einen FTP-Zugang? Da reicht schlicht HTTP, ggf. mit Skripten (so ist es bei uns). Die Prüfung kann man dann über das Skript machen, je nachdem was du wie schützen willst. (Den Dateizugriff?)
Sebastian Jänicke
AppCentral
  Mit Zitat antworten Zitat
musicman56
(Gast)

n/a Beiträge
 
#22

AW: UPX - Wer hat aktuelle Erfahrungen damit?

  Alt 7. Nov 2013, 21:02
Hallo,

HTTP ist offen wie ein Scheunentor. Es gibt Leute wie mich, die müssen mit Updates Geld verdienen.
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#23

AW: UPX - Wer hat aktuelle Erfahrungen damit?

  Alt 7. Nov 2013, 21:23
HTTP ist offen wie ein Scheunentor.
Das müsstest Du - wenn Du magst - vielleicht mal näher erläutern. HTTP(S) ist alleine für sich ja nur ein Vehikel - wie man die Daten verschlüsselt und auch server-seitig mit Requests umgeht, ist doch ein ganz anderes Thema.

Und im punto Sicherheit geben sich FTP und HTTP auf unterster Ebene nicht so furchbar viel. Eigentlich gar nichts - denn bei beiden kommt es darauf an, wie man sie nutzt.
Daniel R. Wolf
mit Grüßen aus Hamburg

Geändert von Daniel ( 7. Nov 2013 um 21:57 Uhr)
  Mit Zitat antworten Zitat
musicman56
(Gast)

n/a Beiträge
 
#24

AW: UPX - Wer hat aktuelle Erfahrungen damit?

  Alt 7. Nov 2013, 22:20
Hallo Daniel,

ich dachte hier auch weniger an das "Vehikel" - also den Transporteur - sondern an die Steuerung und Kontrolle der Zugangsberechtigungen. Derzeit verwende ich noch Filezilla (teilweise mit SSL/TLS), und da kann ich halt sehr schnell und flexibel agieren und auch reagieren, weil es mein eigener WEB-Server ist. Mit einfachen Mitteln auf der Serverseite steuern, wer was darf, Zugriff hat usw. Der Client muss nur die Zugangsdaten kennen, sonst nichts. Die Rechte vergebe ich auf dem Server, und das ist der Punkt. Und wenn ein Kunde ein neues Update gekauft und bezahlt hat, dann bekommt er in seinem Akkount eine kleine Änderung und das war's dann. Mit HTTP (und Scripts) würde das wesentlich umfangreicher, komplizierter und unsicherer. Sagt zumindest mein Sicherheitsexperte. Ich kenn mich da nicht so gut aus.

Auch mit der Protokollierung und dem Logging (wer hat wann/was runtergeladen) hab ich mit FTP eine Standard-Lösung die es mir erlaubt, die Logfiles automatisiert auszuwerten und Angriffe oder nicht autorisierte Login-Versuche schnell zu erkennen. Mit HTTP wesentlich aufwändiger.

Abgesehen davon ist meine derzeit noch praktizierte FTP-Lösung in Kürze schon Schnee von gestern. Ab 2014 laufen meine Updates über eine direkte Datenbank-Anbindung an meinen Web-Server. Dann brauche ich kein "Vehikel" mehr, dann läuft es direkt über eine mit Blowfish gesicherte und verschlüsselte TCP/IP-Verbindung. Der große Bruder muss nicht alles wissen. Aber das ist jetzt endgültog OT, oder?
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#25

AW: UPX - Wer hat aktuelle Erfahrungen damit?

  Alt 7. Nov 2013, 23:55
Welche Art von Ressourcen sollen denn geschützt werden? Wenn ich eine Grafik Ressource schützen will, darf ich sie auch nicht anzeigen und dann brauche ich sie auch nicht in das Kompilat packen.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
musicman56
(Gast)

n/a Beiträge
 
#26

AW: UPX - Wer hat aktuelle Erfahrungen damit?

  Alt 8. Nov 2013, 11:43
Hallo Michael,

da hat du natürlich recht, bei einer Grafik macht das keinen Sinn. Wir haben ja auch von sensibleren Daten wie z.B. dem FTP-Zugang für das Online-Update gesprochen. Bleiben wir mal bei diesem Beispiel. Das FTP-Passwort muss ja irgendwann mal zur Laufzeit zugewiesen werden. Das einfachste und dümmste wäre, es gleich im Klartext in der Komponente abzulegen.

Du hardcodest nicht wirklich Passwörter oder FTP Zugangsdaten in deinen Releases? Da hilft dir weder ASProtect oder noch schwereres Geschütz wie VMProtect. Ebenso unnütz ist die Verschlüsselung, da sich der Schlüssel ja wohl oder übel auch im Code befindet.
Auf meine Frage hierzu, wie man es sonst machen sollte/kann, kam leider bisher noch nichts. Wir sind uns einig, dass es keinen Schutz gibt, der nicht zu knacken ist. Es geht letztendlich nur darum, dem Angreifer das Leben ein bischen schwerer zu machen und nicht gleich das komplette Menü auf einem silbernen Tablett zu servieren. Man nimmt dem armen Hund ja sonst sein Erfolgserlebnis.

Also speichert man das Passwort verschlüsselt. Der Schlüssel für die Verschlüsselung ist natürlich auch irgendwo gespeichert. Und vielleicht noch ein Hash zur Kontrolle. Und vielleicht noch die Exe mit UPX komprimiert, oder mit AsProtect, oder was und wie auch immer, irgendwann landet das Passwort im Klartext in der Indie-Komponente (wenn man mal im einfachsten Fall von den Indie's ausgeht).

Mit jedem popeligen Debugger also kein großes Problem. Nichts verhindert eben....nur ein bischen schwerer gemacht. Womit wir vielleicht wieder ein bischen beim Sinn und Unsinn von UPX wären.
  Mit Zitat antworten Zitat
Benutzerbild von Back2Code
Back2Code

Registriert seit: 6. Feb 2012
Ort: Deutschland
272 Beiträge
 
Delphi XE7 Professional
 
#27

AW: UPX - Wer hat aktuelle Erfahrungen damit?

  Alt 8. Nov 2013, 11:59
Hallo Michael,

da hat du natürlich recht, bei einer Grafik macht das keinen Sinn. Wir haben ja auch von sensibleren Daten wie z.B. dem FTP-Zugang für das Online-Update gesprochen. Bleiben wir mal bei diesem Beispiel. Das FTP-Passwort muss ja irgendwann mal zur Laufzeit zugewiesen werden. Das einfachste und dümmste wäre, es gleich im Klartext in der Komponente abzulegen.

Du hardcodest nicht wirklich Passwörter oder FTP Zugangsdaten in deinen Releases? Da hilft dir weder ASProtect oder noch schwereres Geschütz wie VMProtect. Ebenso unnütz ist die Verschlüsselung, da sich der Schlüssel ja wohl oder übel auch im Code befindet.
Auf meine Frage hierzu, wie man es sonst machen sollte/kann, kam leider bisher noch nichts. Wir sind uns einig, dass es keinen Schutz gibt, der nicht zu knacken ist. Es geht letztendlich nur darum, dem Angreifer das Leben ein bischen schwerer zu machen und nicht gleich das komplette Menü auf einem silbernen Tablett zu servieren. Man nimmt dem armen Hund ja sonst sein Erfolgserlebnis.

Also speichert man das Passwort verschlüsselt. Der Schlüssel für die Verschlüsselung ist natürlich auch irgendwo gespeichert. Und vielleicht noch ein Hash zur Kontrolle. Und vielleicht noch die Exe mit UPX komprimiert, oder mit AsProtect, oder was und wie auch immer, irgendwann landet das Passwort im Klartext in der Indie-Komponente (wenn man mal im einfachsten Fall von den Indie's ausgeht).

Mit jedem popeligen Debugger also kein großes Problem. Nichts verhindert eben....nur ein bischen schwerer gemacht. Womit wir vielleicht wieder ein bischen beim Sinn und Unsinn von UPX wären.
Gibt noch weitaus mehr Maßnahmen zum Schutz.

- Anti Debugger Routinen
- Anti VM
- Anti Sniff
- MD5 Checksum Überprüfung
- Strings im Quelltext (Fehlermeldungen / Pfade etc verschlüsseln)
00111100001100110010000001000100011001010110110001 1100000110100001101001
  Mit Zitat antworten Zitat
Lemmy

Registriert seit: 8. Jun 2002
Ort: Berglen
2.381 Beiträge
 
Delphi 10.4 Sydney
 
#28

AW: UPX - Wer hat aktuelle Erfahrungen damit?

  Alt 8. Nov 2013, 12:24
Gibt noch weitaus mehr Maßnahmen zum Schutz.

- Anti Debugger Routinen
- Anti VM
Super.. genau so stelle ich mir das vor. Sobald das Programm läuft und ich in Delphi was Debuggen will springt das Teil an und blockiert mir den Rechner, weil ich meine Entwicklungsumgebung in einer VM laufen habe. Aber gut - i.d.R. gibt es ausreichend Alternativen....

Grüße
  Mit Zitat antworten Zitat
musicman56
(Gast)

n/a Beiträge
 
#29

AW: UPX - Wer hat aktuelle Erfahrungen damit?

  Alt 8. Nov 2013, 12:45
Gibt noch weitaus mehr Maßnahmen zum Schutz.

- Anti Debugger Routinen
- Anti VM
- Anti Sniff
- MD5 Checksum Überprüfung
- Strings im Quelltext (Fehlermeldungen / Pfade etc verschlüsseln)
Absolut richtig, aber wie du schon sagst, es sind nur "Maßnahmen", also kein echter Schutz, weil es den nicht gibt
  Mit Zitat antworten Zitat
Daniel
(Co-Admin)

Registriert seit: 30. Mai 2002
Ort: Hamburg
13.920 Beiträge
 
Delphi 10.4 Sydney
 
#30

AW: UPX - Wer hat aktuelle Erfahrungen damit?

  Alt 8. Nov 2013, 13:06
Nun, wir sollten zur Ausgangsfrage zurück kommen. Es scheint mit UPX heute im Allgemeinen wohl eher keine Probleme mehr zu geben.
Welche Maßnahmen man zum Software-Schutz ergreifen kann, ist in der Tat spannend und ich bin just in diesem Moment an dieser Fragestellung in einem Projekt dran, aber das sollten wir - wenn überhaupt - separat besprechen.
Daniel R. Wolf
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 5     123 45      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:30 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz