AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

DB-Zugangsdaten verschlüsseln

Ein Thema von Ykcim · begonnen am 21. Aug 2018 · letzter Beitrag vom 27. Aug 2018
Antwort Antwort
Seite 3 von 6     123 45     Letzte »    
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.858 Beiträge
 
Delphi 11 Alexandria
 
#21

AW: DB-Zugangsdaten verschlüsseln

  Alt 22. Aug 2018, 14:53
Zitat:
Ob du die .txt nun verschlüsselst oder nicht, macht im Grunde keinen großen Unterschied.
Auch die meisten (Haus-)Türen sind nicht sicher, trotzdem sollte man diese Abschliessen.
Aus meiner Sicht macht es deshalb schon einen Unterschied ob die Zugangsdaten verschlüsselt oder im Klartext in der Textdatei/Ini/XML/Registry stehen.
Markus Kinzler
  Mit Zitat antworten Zitat
Schokohase
(Gast)

n/a Beiträge
 
#22

AW: DB-Zugangsdaten verschlüsseln

  Alt 22. Aug 2018, 14:55
Es ist ganz einfach:

Ohne eine weitere Schicht (z.B. REST-API) die auf einem anderen System läuft hast du nur Pseudo-Sicherheit. Egal wie die aussieht, egal was du machst.

Das war schon immer so und wird sich auch so schnell nicht ändern.
  Mit Zitat antworten Zitat
Benutzerbild von KodeZwerg
KodeZwerg

Registriert seit: 1. Feb 2018
3.691 Beiträge
 
Delphi 11 Alexandria
 
#23

AW: DB-Zugangsdaten verschlüsseln

  Alt 22. Aug 2018, 15:06
Was meint ihr?
Wie bereits erwähnt, alles ist besser als nichts. Von daher, mach es.
100 Prozent kann man mW eh nicht erreichen. Ob über REST, Datei/Registry oder über Timbuktu per Snailmail, Daten kann man überall irgendwie abgreifen.
XOR Gewährt Dir zumindest minimal Schutz vs unversierte Blicke.
Gruß vom KodeZwerg
  Mit Zitat antworten Zitat
Schokohase
(Gast)

n/a Beiträge
 
#24

AW: DB-Zugangsdaten verschlüsseln

  Alt 22. Aug 2018, 15:14
100% Schutz gibt es nicht auch nicht bei REST-API.

Allerdings liegt ohne diese physische Zwischenschicht die Sicherheit bei 0%-20% und mit der physischen Zwischenschicht bei 90%-99% (z.B. physischer Einbruch in das Rechenzentrum oder Ausnutzen einer Zero-Day-Lücke und ähnliche Kaliber).

Man muss selbst entscheiden, was ausreichend ist.
  Mit Zitat antworten Zitat
Jumpy

Registriert seit: 9. Dez 2010
Ort: Mönchengladbach
1.736 Beiträge
 
Delphi 6 Enterprise
 
#25

AW: DB-Zugangsdaten verschlüsseln

  Alt 22. Aug 2018, 15:22
Und man muss auch überlegen, vor wem man sich schützen will. Ist es z.B. vor der IT-Abteilung des Kunden nützt dir REST usw. auch nix, wenn die Server beim Kunden stehen. Geht es nur um das Fernhalten normaler Mitarbeiter eines Kunden reicht wohl das verschlüsselte Passwort irgendwo und sei es im Quelltext. Geht es darum komplett fremde Leute fern zu halten, muss man hoffen, das der Kunde eine gute Alarmanlage hat...
Ralph
  Mit Zitat antworten Zitat
Benutzerbild von KodeZwerg
KodeZwerg

Registriert seit: 1. Feb 2018
3.691 Beiträge
 
Delphi 11 Alexandria
 
#26

AW: DB-Zugangsdaten verschlüsseln

  Alt 22. Aug 2018, 15:30
Im Kompilat kann das benutzte Passwort für die XOR Methode natürlich auch verschlüsselt ablegt werden, aber egal wie viel Layers man raufpackt, ist es ausführbar ist es angreifbar. Wobei es interessante Schutzproduke gibt die sich auf so was spezialisiert haben Bei Google suchenThemida zum Beispiel.
Schokohase hat mit REST schon Recht, ein Dongle geht übrigens auch.
Gruß vom KodeZwerg
  Mit Zitat antworten Zitat
Benutzerbild von Zacherl
Zacherl

Registriert seit: 3. Sep 2004
4.629 Beiträge
 
Delphi 10.2 Tokyo Starter
 
#27

AW: DB-Zugangsdaten verschlüsseln

  Alt 22. Aug 2018, 15:35
Ohne eine weitere Schicht (z.B. REST-API) die auf einem anderen System läuft hast du nur Pseudo-Sicherheit. Egal wie die aussieht, egal was du machst.
Eben dieses.

Zitat:
Ob du die .txt nun verschlüsselst oder nicht, macht im Grunde keinen großen Unterschied.
Auch die meisten (Haus-)Türen sind nicht sicher, trotzdem sollte man diese Abschliessen.
Aus meiner Sicht macht es deshalb schon einen Unterschied ob die Zugangsdaten verschlüsselt oder im Klartext in der Textdatei/Ini/XML/Registry stehen.
Dein Vergleich hinkt. Passend währe vielleicht die Unterscheidung zwischen nicht-abschließen und abschließen, aber den Schlüssel unter der Fußmatte zu deponieren. Diese Denkweise "besser etwas (was trotzdem effektiv nicht hilft), als gar nichts" ist verdammt gefährlich in der IT. Das schlechte Gewissen ist beruhigt, aber irgendwann kracht es unweigerlich und man hat den Salat.

Wobei es interessante Schutzproduke gibt die sich auf so was spezialisiert haben Bei Google suchenThemida zum Beispiel.
Hierdurch erschwert man das Reverse Engineering - richtig angewendet - zwar tatsächlich signifikant, aber sicher ist es wie du schon sagst trotzdem nicht (siehe gecrackte Spiele). Never trust the client.
Projekte:
- GitHub (Profil, zyantific)
- zYan Disassembler Engine ( Zydis Online, Zydis GitHub)
  Mit Zitat antworten Zitat
rokli

Registriert seit: 21. Mär 2009
Ort: Rödinghausen
301 Beiträge
 
Delphi 10.4 Sydney
 
#28

AW: DB-Zugangsdaten verschlüsseln

  Alt 22. Aug 2018, 15:49
@Schokohase

@rokli

Es geht um die Zugangsdaten zur Datenbank, diese sollen dem Benutzer nicht bekannt sein.

Es geht nicht um die Zugangsdaten der Anwendung, die dem Benutzer sehr wohl bekannt sind, weil er diese selber festlegt (und diese sollten in der Datenbank nur als Hash gespeichert werden).

Um die Zugangsdaten der Anwendung aber überprüfen zu können muss es eine Verbindung zur Datenbank geben und dafür eben auch Zugangsdaten und diese sollen aber geheim sein (damit z.B. nicht jeder in der Datenbank herumpfuschen kann).

Dafür (und nur dafür) such der TE eine Lösung.
Ich traue dem TE zu, dass er das Verfahren da einsetzt, wo er es verwenden möchte; darum habe ich glaub ich immer INI/DB gleichzeitig genannt.

... in der Textdatei/Ini/XML/Registry stehen.
Danke @mkinzler
Rolf
wenn nicht anders angegeben, schreibe ich zu D7, XE2 und MS SQL - ansonsten fragen Sie ihren Administrator oder einen Operator. Update 06/2020: Delphi 10.4 Sydney
  Mit Zitat antworten Zitat
generic

Registriert seit: 24. Mär 2004
Ort: bei Hannover
2.416 Beiträge
 
Delphi XE5 Professional
 
#29

AW: DB-Zugangsdaten verschlüsseln

  Alt 24. Aug 2018, 09:28
@rokli

Es geht um die Zugangsdaten zur Datenbank, diese sollen dem Benutzer nicht bekannt sein.

Es geht nicht um die Zugangsdaten der Anwendung, die dem Benutzer sehr wohl bekannt sind, weil er diese selber festlegt (und diese sollten in der Datenbank nur als Hash gespeichert werden).

Um die Zugangsdaten der Anwendung aber überprüfen zu können muss es eine Verbindung zur Datenbank geben und dafür eben auch Zugangsdaten und diese sollen aber geheim sein (damit z.B. nicht jeder in der Datenbank herumpfuschen kann).
Ich glaube, ihr habt hier ein Konzept Problem.

Ihr baut euch eine eigene Benutzerverwaltung! Das ist nicht notwendig.

Der Datenbankserver hat bereits eine eingebaut, nutzt die. Damit habt ihr auch nicht das Problem, dass es eine weitere technische Verbindung/Benutzer gibt, die das gesamte Rechtssystem untergräbt.

Bevor jetzt die Diskussion los geht, mit "ich habe aber Köpfe zum Löschen und Bearbeiten in der Oberfläche die sollen aus sein, wenn der Benutzer keine Rechte hat" kann ich nur sagen:
Genau die Datensätze in Tabellen lassen sich auch Rechte abfragen. Wenn ein Benutzer kein "DELETE" auf der Tabelle hat, dann kann man auch den Knopf ausmachen.

Ja, manchmal sind die Datenbankrechte nicht fein genug, dann batch Funktionen welche die BI abbilden und die Tabellen verstecken. Schließlich braucht ein Benutzer nicht zwingend ein "SELECT" Recht auf einer Tabelle, wenn er die Daten auch durch einen View oder Funktion bekommen kann.
  Mit Zitat antworten Zitat
Schokohase
(Gast)

n/a Beiträge
 
#30

AW: DB-Zugangsdaten verschlüsseln

  Alt 24. Aug 2018, 09:50
Ich glaube, ihr habt hier ein Konzept Problem.
Das Konzept-Problem ist der direkte Zugriff vom Client auf die Datenbank und das in jeder Hinsicht. Zugriffs-Komponenten, Treiber, Zugangsdaten, etc.

Aber wieso wir? Ich habe das Problem nicht ...
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 6     123 45     Letzte »    


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:22 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz