AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein Sind mit Delphi erstellte Programm sicherer?
Thema durchsuchen
Ansicht
Themen-Optionen

Sind mit Delphi erstellte Programm sicherer?

Ein Thema von BlueStarHH · begonnen am 6. Okt 2023 · letzter Beitrag vom 9. Okt 2023
Antwort Antwort
Seite 1 von 3  1 23      
BlueStarHH

Registriert seit: 28. Mär 2005
Ort: Hamburg
849 Beiträge
 
Delphi 11 Alexandria
 
#1

Sind mit Delphi erstellte Programm sicherer?

  Alt 6. Okt 2023, 10:31
Hallo,

sind mit Delphi erstelle Programm grundsätzlich "sicherer", als mit anderen Sprachen wie z.B. C? In Delphi gibt es ja die Typisierung und Stack-Overflows können nicht vorkommen, wenn bestimmte Dinge nicht tut (welche wären das)? Bei mit C erstellten programme liest man ja ständig, dass durch Stack-Overflows enorme Sicherheitslücken aufgetreten sind.

Hintergrund ist, dass ich einem Kunden begründen muss, warum mein Delphi-Programm sicher ist. Es ist ein Programm, das lokal bei ihm ohne installation läuft. Es zeigt kurze Hilfe-Animation in einem eingebetteten Chrome-Browser (HTML5/SVG) an. Mehr nicht. Ich muss begründen, warum das kein Sicherheitsrisiko für seine IT ist. Admin-Rechte/Internetzuggang braucht man auch nicht. Was könnte man da noch nennen?

Der Kunde hat Angst, dass wenn dort eine Sicherheitslücke auftreten sollte (was soll das hier sein) der Angreifer Schaden auf seinen System anrichtgen könnte oder sogar Vollzugriff auf alles bekommt.
  Mit Zitat antworten Zitat
Benutzerbild von Gausi
Gausi

Registriert seit: 17. Jul 2005
880 Beiträge
 
Delphi 11 Alexandria
 
#2

AW: Sind mit Delphi erstellte Programm sicherer?

  Alt 6. Okt 2023, 10:41
Nuja, wenn du einen Browser einbettest, dann hast du schonmal alle Sicherheitsprobleme drin, die der Browser auch hat.

Aber davon abgesehen: Welche Möglichkeiten zur Eingabe von Daten bietet das Progremm denn? Spielt es nur eine vorgegebene Animation ab? Dann besteht wenig Gefahr - es sei denn, dein Kunde unterstellt dir bösartige Absichten.

Oder kann der Anwender eigene (oder von Dritten, ggf. bösartige) Animationen einbetten und anzeigen lassen? Dann wäre das potentielle Problem deutlich größer - ungepatchte Bugs in der Browser-Engine wären dann unter Umständen auch dein Problem.
The angels have the phone box.
  Mit Zitat antworten Zitat
Benutzerbild von haentschman
haentschman

Registriert seit: 24. Okt 2006
Ort: Seifhennersdorf / Sachsen
5.388 Beiträge
 
Delphi 12 Athens
 
#3

AW: Sind mit Delphi erstellte Programm sicherer?

  Alt 6. Okt 2023, 10:42
Zitat:
Ich muss begründen, warum das kein Sicherheitsrisiko für seine IT ist
Welches Programm hat nicht seine "Probleme". Die meisten kommen aber aus dem Betriebssystem...

Zitat:
Was könnte man da noch nennen?
...der typische Layer 8 Fehler. Unbekannte Mailanhänge z.B. öffen. Davor sollte sich die IT fürchten. Nicht vor Delphi.

Geändert von haentschman ( 6. Okt 2023 um 10:44 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von joachimd
joachimd

Registriert seit: 17. Feb 2005
Ort: Weitingen
679 Beiträge
 
Delphi 12 Athens
 
#4

AW: Sind mit Delphi erstellte Programm sicherer?

  Alt 6. Okt 2023, 10:45
lass einfach Schwachstellenscanner dagegen laufen und schicke ihm den Bericht.
Joachim Dürr
Joachim Dürr Softwareengineering
http://www.jd-engineering.de
  Mit Zitat antworten Zitat
BlueStarHH

Registriert seit: 28. Mär 2005
Ort: Hamburg
849 Beiträge
 
Delphi 11 Alexandria
 
#5

AW: Sind mit Delphi erstellte Programm sicherer?

  Alt 6. Okt 2023, 10:48
lass einfach Schwachstellenscanner dagegen laufen und schicke ihm den Bericht.
Hast Du eine Empfehlung für so einen Scanner?
  Mit Zitat antworten Zitat
Benutzerbild von Jasocul
Jasocul

Registriert seit: 22. Sep 2004
Ort: Delmenhorst
1.354 Beiträge
 
Delphi 11 Alexandria
 
#6

AW: Sind mit Delphi erstellte Programm sicherer?

  Alt 6. Okt 2023, 10:50
Nuja, wenn du einen Browser einbettest, dann hast du schonmal alle Sicherheitsprobleme drin, die der Browser auch hat.

Aber davon abgesehen: Welche Möglichkeiten zur Eingabe von Daten bietet das Progremm denn? Spielt es nur eine vorgegebene Animation ab? Dann besteht wenig Gefahr - es sei denn, dein Kunde unterstellt dir bösartige Absichten.

Oder kann der Anwender eigene (oder von Dritten, ggf. bösartige) Animationen einbetten und anzeigen lassen? Dann wäre das potentielle Problem deutlich größer - ungepatchte Bugs in der Browser-Engine wären dann unter Umständen auch dein Problem.
Oder, falls die SVG-Dateien irgendwo auf dem Rechner oder Netzwerk abgelegt sind, könnten diese unabhängig vom Programm manipuliert werden. Darauf hat das Programm dann keinen Einfluss.
Peter
  Mit Zitat antworten Zitat
Benutzerbild von joachimd
joachimd

Registriert seit: 17. Feb 2005
Ort: Weitingen
679 Beiträge
 
Delphi 12 Athens
 
#7

AW: Sind mit Delphi erstellte Programm sicherer?

  Alt 6. Okt 2023, 10:51
Kali-Linux als Image besorgen, da ist https://openvas.org/ mit drin. Ansonsten bei Web ist https://owasp.org eine gute Wahl.
Joachim Dürr
Joachim Dürr Softwareengineering
http://www.jd-engineering.de
  Mit Zitat antworten Zitat
BlueStarHH

Registriert seit: 28. Mär 2005
Ort: Hamburg
849 Beiträge
 
Delphi 11 Alexandria
 
#8

AW: Sind mit Delphi erstellte Programm sicherer?

  Alt 6. Okt 2023, 10:51
Nuja, wenn du einen Browser einbettest, dann hast du schonmal alle Sicherheitsprobleme drin, die der Browser auch hat.
Es ist ja nur die Chrome-"Engine" ohne die Chrome-GUI. Die GUI ist ja in Delphi erstellt. Wie könnte man das Nutzen um daraus einen Angriff zu starten?

Aber davon abgesehen: Welche Möglichkeiten zur Eingabe von Daten bietet das Progremm denn?
Er kann einige Dinge konfigueren. Welche Animationen möchte er in welcher Häufikeit sehen. Mehere Hintereinander oder nur eine und sowas in der Art.


Oder kann der Anwender eigene (oder von Dritten, ggf. bösartige) Animationen einbetten und anzeigen lassen?
Nein, kann er nicht. Wäre dann aber auch sein Problem, wenn er selbst Schadcode dort reinladen würde.
  Mit Zitat antworten Zitat
BlueStarHH

Registriert seit: 28. Mär 2005
Ort: Hamburg
849 Beiträge
 
Delphi 11 Alexandria
 
#9

AW: Sind mit Delphi erstellte Programm sicherer?

  Alt 6. Okt 2023, 10:53
Nuja, wenn du einen Browser einbettest, dann hast du schonmal alle Sicherheitsprobleme drin, die der Browser auch hat.

Aber davon abgesehen: Welche Möglichkeiten zur Eingabe von Daten bietet das Progremm denn? Spielt es nur eine vorgegebene Animation ab? Dann besteht wenig Gefahr - es sei denn, dein Kunde unterstellt dir bösartige Absichten.

Oder kann der Anwender eigene (oder von Dritten, ggf. bösartige) Animationen einbetten und anzeigen lassen? Dann wäre das potentielle Problem deutlich größer - ungepatchte Bugs in der Browser-Engine wären dann unter Umständen auch dein Problem.
Oder, falls die SVG-Dateien irgendwo auf dem Rechner oder Netzwerk abgelegt sind, könnten diese unabhängig vom Programm manipuliert werden. Darauf hat das Programm dann keinen Einfluss.
Das stimmt. ALLEs was das Programm braucht ist aber im Programmorder und "Program Files". Durch UAC mit Schreibschutz für nicht Admins.
  Mit Zitat antworten Zitat
Benutzerbild von Gausi
Gausi

Registriert seit: 17. Jul 2005
880 Beiträge
 
Delphi 11 Alexandria
 
#10

AW: Sind mit Delphi erstellte Programm sicherer?

  Alt 6. Okt 2023, 11:11
Es ist ja nur die Chrome-"Engine" ohne die Chrome-GUI. Die GUI ist ja in Delphi erstellt. Wie könnte man das Nutzen um daraus einen Angriff zu starten?
Die Engine wird die HTML- und SVG-Dateien laden und verarbeiten. Wenn dabei ein "Buffer Overflow" passiert, über den der Angreifer (der das HTML/SVG böswillig manipuliert hat) dann seinen Code ausführen kann, dann geht das - völlig egal, was deine GUI macht.

Da dein Programm aber praktisch keine Eingaben von außen erlaubt (außer ein paar Klicks und Einstellungen), und dein Programm nicht viel mehr zu sein scheint als eine selbststartende Animation, würde ich das dem Kunden so weitergeben. Wo keine komplexen User-Eingaben möglich sind, kann auch kein Angreifer Unsinn machen.

Oder, falls die SVG-Dateien irgendwo auf dem Rechner oder Netzwerk abgelegt sind, könnten diese unabhängig vom Programm manipuliert werden. Darauf hat das Programm dann keinen Einfluss.
Dann hat der Angreifer aber schon Zugriff auf das System. Dann sind Security-Probleme im Code von irgendwelchen Programmen auch (fast) egal.
The angels have the phone box.

Geändert von Gausi ( 6. Okt 2023 um 11:16 Uhr)
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 3  1 23      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:50 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz