AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Verschlüsselter Dateidownload übers Internet

Ein Thema von Sunec · begonnen am 3. Aug 2015 · letzter Beitrag vom 3. Aug 2015
Antwort Antwort
Seite 2 von 3     12 3      
mm1256

Registriert seit: 10. Feb 2014
Ort: Wackersdorf, Bayern
640 Beiträge
 
Delphi 10.1 Berlin Professional
 
#11

AW: Verschlüsselter Dateidownload übers Internet

  Alt 3. Aug 2015, 16:21
....Das sehe ich aber anders. Sicherheitslösungen die Geld kosten, sind von Firmen die diese nicht frei zur Verfügung stellen. Und Sicherheitslösungen die nicht frei sind, können nicht von jedermann überprüft werden. Damit sind sie per-se nicht sicher.
Ist leider die falsche Schlussfolgerung. Ich habe mit keinem Wort etwas von "Sicherheitslösungen die Geld kosten" erwähnt. Denn damit hat du leider Recht, da wird Kunden Sicherheit verkauft, die es dann in der Form meistens doch nicht gibt.

Ohne jetzt zu tief ins Detail gehen zu wollen, ich meinte damit einen eigenen physikalischen Root-Server. Kein virtueller Kram den man für 10 Euros monatlich an jeder Ecke mieten kann, sondern eine (oder 2) beim Provider gemietete HE mit einem eigenen Server.
Gruss Otto
Wenn du mit Gott reden willst, dann bete.
Wenn du ihn treffen willst, schreib bei Tempo 220 eine SMS
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#12

AW: Verschlüsselter Dateidownload übers Internet

  Alt 3. Aug 2015, 16:35
Ohne jetzt zu tief ins Detail gehen zu wollen, ich meinte damit einen eigenen physikalischen Root-Server. Kein virtueller Kram den man für 10 Euros monatlich an jeder Ecke mieten kann, sondern eine (oder 2) beim Provider gemietete HE mit einem eigenen Server.
Achso. Da stimme ich dir zu.
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
4.142 Beiträge
 
Delphi 10.3 Rio
 
#13

AW: Verschlüsselter Dateidownload übers Internet

  Alt 3. Aug 2015, 18:10
...Schlüssel zum entschlüsseln dem Clientprogramm bekannt sein muss -> um damit zu arbeiten muss der irgend wann in den Speicher und ist damit potentiell abgreifbar. Und hier spielt es nur eine kleine Rolle wie verschlüsselt wird (AES, PGP,...) wenn der Schlüssel zum entschlüsseln auslesbar ist.
Tja genau das ist doch der Punkt... Wenn der String:"Geheimer-AES-Schlüssel" heißt macht das keinen Sinn...

Ist hingegen ein guter Weg für 99% aller Lösungen...

Es kommt jedoch darauf an, was ich erreichen möchte...

Logisch es gibt keine 100%ig Sicherheit...

Die Frage gliedert sich doch einfach in drei Punkten

1. Was will ich schützen
2. Mit welchem Aufwand
3. Gegen wen

Ne Textdatei mit meinen Einstellungen gegen einen Enduser oder meinen Lizenzkey für ein Produkt das 100k kostet gegen einen Superhacker....

Mit ein bisschen verschlüsseln und den in Clienten vorhandenen Schlüssel nicht speichern, sondern errechnen und dir Routine mit dem Timer gegen nen Debugger absichern und und und... Kommt man schon sehr weit...

Mavarik

PS: Ach was waren das noch für Zeiten, wo man als 1. den Debug Interrupt umgebogen hat. Und die Routine die das gemacht lag als Grafik auf der VGA-Karte und wurde dort ausgeführt...Und immer wenn der Debugger an die Stelle gekommen ist, war der Code schon wieder weg...
  Mit Zitat antworten Zitat
Sunec

Registriert seit: 31. Aug 2013
88 Beiträge
 
Delphi XE8 Architect
 
#14

AW: Verschlüsselter Dateidownload übers Internet

  Alt 3. Aug 2015, 18:35
Danke schonmal für die rege Beteiligung am Thema!

Das ganze ist ein Hobby-Projekt und nichts kommerzielles. Dies bedeutet, dass möglichst geringe Kosten anfallen sollten (< 100€).

Leider schreibst Du nicht wo der Webserver steht, LAN oder WAN?
Der Webserver steht bei einem Hoster, nicht lokal.

@Mavarik
Daran habe ich ehrlich gesagt noch garnicht gedacht. Das Konzept mit der Decryption beim Client werde ich mir auf jeden Fall genauer ansehen. Mit etwas Aufwand sollte dies auch ausreichend Sicherheit bieten.

Allerdings wurde hierbei die Herangehensweise (Download nur per Programm und nicht per direktem Aufruf der URL) nicht berücksichtigt. Allerdings schließt das eine das andere ja nicht aus und eine Kombination ist möglich.

Das Vorhaben ist schlichtweg nicht möglich. Der Anwender hat vollen Zugriff auf seinen Computer und kann somit alles Geschehen dort mitlesen und manipulieren. Eine Verschlüsselung bringt nichts, da der Schlüssel auch auf dem PC liegen muss. Eine Authentifizierung bringt ebenso nichts, da der Schlüssel mitgeliefert werden muss.
Das eine 100%ige Sicherheit nicht gewährleistet werden kann ist mir bewusst. Irgendwie ist man doch immer angreifbar und selbst der beste Sicherheitsmechanismus kann geknackt werden.

Die Thematik an sich ist jedoch sehr intressant und da das Projekt aus meiner Motivation entsteht und ich keinen "Abgabetermin" habe kann ich mir auch Zeit lassen.


Ich möchte das Ganze nur so sicher wie möglich halten.

Möglicherweise ist eine Art "Streamer" recht gut realisierbar.
  1. Der Benutzer hat ein Programm (den Streamer) auf dem Rechner.
  2. Nachdem er diesen startet muss er sich authentifizieren (durch bspw. Username / PW oder aber Lizenzdatei).
  3. Ist diese erfolgreich läd der Streamer das eigentliche "Programm / Datei / Modul" in seinen Speicher.
  4. Nun erfolgt die Autorisierung im Programm selbst, ohne das etwas auf die Festplatte geladen wurde.
  5. Ist der Benutzer berechtigt sich die Datei anzusehen / Programm zu starten / Modul zu laden wird dies getan

Was haltet ihr davon?

Geändert von Sunec ( 3. Aug 2015 um 18:38 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
4.142 Beiträge
 
Delphi 10.3 Rio
 
#15

AW: Verschlüsselter Dateidownload übers Internet

  Alt 3. Aug 2015, 19:04
Möglicherweise ist eine Art "Streamer" recht gut realisierbar.
  1. Der Benutzer hat ein Programm (den Streamer) auf dem Rechner.
  2. Nachdem er diesen startet muss er sich authentifizieren (durch bspw. Username / PW oder aber Lizenzdatei).
  3. Ist diese erfolgreich läd der Streamer das eigentliche "Programm / Datei / Modul" in seinen Speicher.
  4. Nun erfolgt die Autorisierung im Programm selbst, ohne das etwas auf die Festplatte geladen wurde.
  5. Ist der Benutzer berechtigt sich die Datei anzusehen / Programm zu starten / Modul zu laden wird dies getan

Was haltet ihr davon?
Wie schon gesagt... Eine Routine an einer Stelle die ggf. och ein true oder false zurück liefert, kann "man" leicht finden und mit NOP's überschreiben... Das ist dann i.d.R. der Knackpunkt.
Noch besser, wenn dahinter der MessageDLG 'Sie haben keine Berechtigung' steht...

Also alle statischen Texte verschlüsseln...
Keine Proceduraufrufe für die Kontrolle, sondern Ein Pointer auf einen Pointer auf eine Liste von Adressen die Du berechnest und dann zum Pointer springen.
So in dieser "Richtung"
  Mit Zitat antworten Zitat
Lemmy

Registriert seit: 8. Jun 2002
Ort: Berglen
2.380 Beiträge
 
Delphi 10.3 Rio
 
#16

AW: Verschlüsselter Dateidownload übers Internet

  Alt 3. Aug 2015, 19:08
...Schlüssel zum entschlüsseln dem Clientprogramm bekannt sein muss -> um damit zu arbeiten muss der irgend wann in den Speicher und ist damit potentiell abgreifbar. Und hier spielt es nur eine kleine Rolle wie verschlüsselt wird (AES, PGP,...) wenn der Schlüssel zum entschlüsseln auslesbar ist.
Tja genau das ist doch der Punkt... Wenn der String:"Geheimer-AES-Schlüssel" heißt macht das keinen Sinn...
nein, das sehe ich nicht als Punkt an - das ist absolute Grundlage bevor man sich überhaupt mit "ich will eine Datei runter laden" beschäftigt.. und falls man sich noch nicht damit beschäftigt hat, hier was zum Einstieg.

http://michael-puff.de/Programmierun...acking_1.shtml
http://www.inner-smile.com/nocrack.phtml#howto
  Mit Zitat antworten Zitat
Benutzerbild von Sir Rufo
Sir Rufo

Registriert seit: 5. Jan 2005
Ort: Stadthagen
9.454 Beiträge
 
Delphi 10 Seattle Enterprise
 
#17

AW: Verschlüsselter Dateidownload übers Internet

  Alt 3. Aug 2015, 19:10
Wenn der Benutzer sich anmelden muss, dann baut man daraus einen Hash und schickt diesen zum Server (Salzen bzw. mit einem Challenge vom Server). Der prüft und gibt dann den Download frei.

Die Verbindung mit SSL und schon ist das relativ dicht.
Kaum macht man's richtig - schon funktioniert's
Zertifikat: Sir Rufo (Fingerprint: ‎ea 0a 4c 14 0d b6 3a a4 c1 c5 b9 dc 90 9d f0 e9 de 13 da 60)
  Mit Zitat antworten Zitat
mm1256

Registriert seit: 10. Feb 2014
Ort: Wackersdorf, Bayern
640 Beiträge
 
Delphi 10.1 Berlin Professional
 
#18

AW: Verschlüsselter Dateidownload übers Internet

  Alt 3. Aug 2015, 19:56
...Die Verbindung mit SSL und schon ist das relativ dicht.
Aber an SSL scheitert's doch schon meistens finanziell. Ein Zertifikat selber kaufen, oder eines beim Provider "mieten", oder was auch immer, wie ich schon vorher schrieb, ein bisserl was kostet es eben, und das ist dann das Aus für Hobbyprojekte. Oder gibt's da was umsonst? Ist mir jedenfalls nichts bekannt.
Gruss Otto
Wenn du mit Gott reden willst, dann bete.
Wenn du ihn treffen willst, schreib bei Tempo 220 eine SMS
  Mit Zitat antworten Zitat
Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#19

AW: Verschlüsselter Dateidownload übers Internet

  Alt 3. Aug 2015, 20:01
Oder gibt's da was umsonst? Ist mir jedenfalls nichts bekannt.
Gibt es: www.startssl.com, wobei das weniger umsonst als kostenfrei ist . Aber ein selbsterzeugtes Zertifikat ist jetzt nicht so schlimm finde ich, es sei denn, man muss es auf (vielen) fremden Rechnern ausrollen.

MfG Dalai
  Mit Zitat antworten Zitat
mm1256

Registriert seit: 10. Feb 2014
Ort: Wackersdorf, Bayern
640 Beiträge
 
Delphi 10.1 Berlin Professional
 
#20

AW: Verschlüsselter Dateidownload übers Internet

  Alt 3. Aug 2015, 20:09
Na ja, der Köder ist (wie fast überall) umsonst, aber den Fisch muss man dann kaufen
Gruss Otto
Wenn du mit Gott reden willst, dann bete.
Wenn du ihn treffen willst, schreib bei Tempo 220 eine SMS
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 3     12 3      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:35 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz