Leg die Datei einfach auf Deinen Webserver...

Dann mit dem eigenen Programm runter laden und "entpacken"...

Ohne Deine Software kann keiner etwas mit der Datei anfangen, weil keine die Entschlüsselung kennt...

Dann kannst Du die URL auch in Google eintragen...

So Einfach...

Leider schreibst Du nicht wo der Webserver steht, LAN oder WAN? Bei einem WAN Standort gehe davon aus das nichts sicher ist was dort gespeichert ist. Es wird nur sicher wenn es verschlüsselt ist.

Ein Packer wie 7z geht mit Verschlüsselung und lässt sich auch in Delphi aufrufen. Des weiteren kannst Du ein FTP oder SFTP Protokoll benutzen um Dateien hoch oder runter zu laden.

Im FTP Server, auf deinem Webserver, kannst Du dann Benutzer einrichten die auf bestimmte Dateien zugriff haben oder nicht. Die Rechte Regeln sind aber schon wieder ein Thema für sich.

Ist ja auch alles überhaupt nicht nötig...


Ich nehme mir eine Datei... Packe die mit einem beliebigen Packer... Dann zerhacke ich die Datei in 256 Byte happchen bei großen oder 16 Byte bei kleinen Dateien...

Dann füge ich die Datei per Zufall wieder zusammen und merke mir wo welcher Happen jetzt steht in meinen Programm...

Ich kann natürlich auch AES/RSA nehmen... Aber das andere geht ohne "alles"...

Hallo,

@Mavarik weil heute eine Verschlüsselung als sicher gilt, muss dies nicht für immer gelten.

Der TE wollte ein Verfahren, dass wie folgt funktioniert

Dann musst du tatsächlich erstmal eine Authentifizierung durchführen, dies kann über erfolgen. Es gibt sicher auch noch andere Verfahren, um sicherzustellen ob jemand die Datei herunterladen darf oder dieser auch imstande ist diese zu entschlüsseln.

mfg

frank

Danke schonmal für die rege Beteiligung am Thema!

Das ganze ist ein Hobby-Projekt und nichts kommerzielles. Dies bedeutet, dass möglichst geringe Kosten anfallen sollten (< 100€).

Der Webserver steht bei einem Hoster, nicht lokal.

@Mavarik
Daran habe ich ehrlich gesagt noch garnicht gedacht. Das Konzept mit der Decryption beim Client werde ich mir auf jeden Fall genauer ansehen. Mit etwas Aufwand sollte dies auch ausreichend Sicherheit bieten.

Allerdings wurde hierbei die Herangehensweise (Download nur per Programm und nicht per direktem Aufruf der URL) nicht berücksichtigt. Allerdings schließt das eine das andere ja nicht aus und eine Kombination ist möglich.

Das eine 100%ige Sicherheit nicht gewährleistet werden kann ist mir bewusst. Irgendwie ist man doch immer angreifbar und selbst der beste Sicherheitsmechanismus kann geknackt werden.

Die Thematik an sich ist jedoch sehr intressant und da das Projekt aus meiner Motivation entsteht und ich keinen "Abgabetermin" habe kann ich mir auch Zeit lassen.


Ich möchte das Ganze nur so sicher wie möglich halten.

Möglicherweise ist eine Art "Streamer" recht gut realisierbar.

1. Der Benutzer hat ein Programm (den Streamer) auf dem Rechner.
2. Nachdem er diesen startet muss er sich authentifizieren (durch bspw. Username / PW oder aber Lizenzdatei).
3. Ist diese erfolgreich läd der Streamer das eigentliche "Programm / Datei / Modul" in seinen Speicher.
4. Nun erfolgt die Autorisierung im Programm selbst, ohne das etwas auf die Festplatte geladen wurde.
5. Ist der Benutzer berechtigt sich die Datei anzusehen / Programm zu starten / Modul zu laden wird dies getan

Was haltet ihr davon?

Wie schon gesagt... Eine Routine an einer Stelle die ggf. och ein true oder false zurück liefert, kann "man" leicht finden und mit NOP's überschreiben... Das ist dann i.d.R. der Knackpunkt.
Noch besser, wenn dahinter der MessageDLG 'Sie haben keine Berechtigung' steht...

Also alle statischen Texte verschlüsseln...
Keine Proceduraufrufe für die Kontrolle, sondern Ein Pointer auf einen Pointer auf eine Liste von Adressen die Du berechnest und dann zum Pointer springen.
So in dieser "Richtung"

Wenn der Benutzer sich anmelden muss, dann baut man daraus einen Hash und schickt diesen zum Server (Salzen bzw. mit einem Challenge vom Server). Der prüft und gibt dann den Download frei.

Die Verbindung mit SSL und schon ist das relativ dicht.

Aber an SSL scheitert's doch schon meistens finanziell. Ein Zertifikat selber kaufen, oder eines beim Provider "mieten", oder was auch immer, wie ich schon vorher schrieb, ein bisserl was kostet es eben, und das ist dann das Aus für Hobbyprojekte. Oder gibt's da was umsonst? Ist mir jedenfalls nichts bekannt.

Gibt es: www.startssl.com, wobei das weniger umsonst als kostenfrei ist . Aber ein selbsterzeugtes Zertifikat ist jetzt nicht so schlimm finde ich, es sei denn, man muss es auf (vielen) fremden Rechnern ausrollen.

MfG Dalai