Ist leider die falsche Schlussfolgerung. Ich habe mit keinem Wort etwas von "Sicherheitslösungen die Geld kosten" erwähnt. Denn damit hat du leider Recht, da wird Kunden Sicherheit verkauft, die es dann in der Form meistens doch nicht gibt.

Ohne jetzt zu tief ins Detail gehen zu wollen, ich meinte damit einen eigenen physikalischen Root-Server. Kein virtueller Kram den man für 10 Euros monatlich an jeder Ecke mieten kann, sondern eine (oder 2) beim Provider gemietete HE mit einem eigenen Server.

Achso. Da stimme ich dir zu.

Tja genau das ist doch der Punkt... Wenn der String:"Geheimer-AES-Schlüssel" heißt macht das keinen Sinn...

Ist hingegen ein guter Weg für 99% aller Lösungen...

Es kommt jedoch darauf an, was ich erreichen möchte...

Logisch es gibt keine 100%ig Sicherheit...

Die Frage gliedert sich doch einfach in drei Punkten

1. Was will ich schützen
2. Mit welchem Aufwand
3. Gegen wen

Ne Textdatei mit meinen Einstellungen gegen einen Enduser oder meinen Lizenzkey für ein Produkt das 100k kostet gegen einen Superhacker....

Mit ein bisschen verschlüsseln und den in Clienten vorhandenen Schlüssel nicht speichern, sondern errechnen und dir Routine mit dem Timer gegen nen Debugger absichern und und und... Kommt man schon sehr weit...

Mavarik

PS: Ach was waren das noch für Zeiten, wo man als 1. den Debug Interrupt umgebogen hat. Und die Routine die das gemacht lag als Grafik auf der VGA-Karte und wurde dort ausgeführt...Und immer wenn der Debugger an die Stelle gekommen ist, war der Code schon wieder weg...

Danke schonmal für die rege Beteiligung am Thema!

Das ganze ist ein Hobby-Projekt und nichts kommerzielles. Dies bedeutet, dass möglichst geringe Kosten anfallen sollten (< 100€).

Der Webserver steht bei einem Hoster, nicht lokal.

@Mavarik
Daran habe ich ehrlich gesagt noch garnicht gedacht. Das Konzept mit der Decryption beim Client werde ich mir auf jeden Fall genauer ansehen. Mit etwas Aufwand sollte dies auch ausreichend Sicherheit bieten.

Allerdings wurde hierbei die Herangehensweise (Download nur per Programm und nicht per direktem Aufruf der URL) nicht berücksichtigt. Allerdings schließt das eine das andere ja nicht aus und eine Kombination ist möglich.

Das eine 100%ige Sicherheit nicht gewährleistet werden kann ist mir bewusst. Irgendwie ist man doch immer angreifbar und selbst der beste Sicherheitsmechanismus kann geknackt werden.

Die Thematik an sich ist jedoch sehr intressant und da das Projekt aus meiner Motivation entsteht und ich keinen "Abgabetermin" habe kann ich mir auch Zeit lassen.


Ich möchte das Ganze nur so sicher wie möglich halten.

Möglicherweise ist eine Art "Streamer" recht gut realisierbar.

1. Der Benutzer hat ein Programm (den Streamer) auf dem Rechner.
2. Nachdem er diesen startet muss er sich authentifizieren (durch bspw. Username / PW oder aber Lizenzdatei).
3. Ist diese erfolgreich läd der Streamer das eigentliche "Programm / Datei / Modul" in seinen Speicher.
4. Nun erfolgt die Autorisierung im Programm selbst, ohne das etwas auf die Festplatte geladen wurde.
5. Ist der Benutzer berechtigt sich die Datei anzusehen / Programm zu starten / Modul zu laden wird dies getan

Was haltet ihr davon?

Wie schon gesagt... Eine Routine an einer Stelle die ggf. och ein true oder false zurück liefert, kann "man" leicht finden und mit NOP's überschreiben... Das ist dann i.d.R. der Knackpunkt.
Noch besser, wenn dahinter der MessageDLG 'Sie haben keine Berechtigung' steht...

Also alle statischen Texte verschlüsseln...
Keine Proceduraufrufe für die Kontrolle, sondern Ein Pointer auf einen Pointer auf eine Liste von Adressen die Du berechnest und dann zum Pointer springen.
So in dieser "Richtung"

nein, das sehe ich nicht als Punkt an - das ist absolute Grundlage bevor man sich überhaupt mit "ich will eine Datei runter laden" beschäftigt.. und falls man sich noch nicht damit beschäftigt hat, hier was zum Einstieg.

http://michael-puff.de/Programmierun...acking_1.shtml
http://www.inner-smile.com/nocrack.phtml#howto

Wenn der Benutzer sich anmelden muss, dann baut man daraus einen Hash und schickt diesen zum Server (Salzen bzw. mit einem Challenge vom Server). Der prüft und gibt dann den Download frei.

Die Verbindung mit SSL und schon ist das relativ dicht.

Aber an SSL scheitert's doch schon meistens finanziell. Ein Zertifikat selber kaufen, oder eines beim Provider "mieten", oder was auch immer, wie ich schon vorher schrieb, ein bisserl was kostet es eben, und das ist dann das Aus für Hobbyprojekte. Oder gibt's da was umsonst? Ist mir jedenfalls nichts bekannt.

Gibt es: www.startssl.com, wobei das weniger umsonst als kostenfrei ist . Aber ein selbsterzeugtes Zertifikat ist jetzt nicht so schlimm finde ich, es sei denn, man muss es auf (vielen) fremden Rechnern ausrollen.

MfG Dalai

Na ja, der Köder ist (wie fast überall) umsonst, aber den Fisch muss man dann kaufen