Und wie funktioniert das dann mit Seriennummern bei z.B. Microsoftanwendungen? Dort ist doch auch die Seriennummer in der EXE gespeichert ..., oder? Ich möchte ja kein unknackbares System haben ... E muss noch nicht mal so sicher wie Seriennummern bei Programmen ... Nur eben, dass nicht jeder es rausbekommt ...

Wie schon gesagt, sobald die FTP-Verbindung hergestellt wird kann jeder ganz einfach dein Passwort herausfinden. Sogar ich
Lösung ist ein PHP Script das den Upload übernimmt.

Ich empfehle dir die Grundlagen von PHP zu lernen - es ist eine relativ einfache Sprache. Man muss nur aufpassen durch unvorsichtige Programmierung keine Sicherheitslecks zu öffnen.

Im Grunde genommen muß halt nur die Dateiendung geprüft werden, so daß man nur Dateien mit bestimmte Dateiendungen hochladen kann.

Nein, sonst wären ja alle Seriennummern gleich, die eingegebene Seriennummer wird durch diverse Algorithmen auf Richtigkeit überprüft.

gruss

ja ... naja: ein beispiel:

wenn ich meine wohnungstür auf lasse, kommt jeder einbrecher, auch wenn er gar keiner ist, rein.

wenn ich sie abschleiße, ist es für einen profi genauso schwer, wie wenn ich die wohnungstür abschließe und den schlüssel stecken lasse.

ein profi kommt immer ran ...

dasselbe mit dem passwort für ftp ... es soll nicht im klartext drinstehen ...aber ein wenig verschlüsselt sein ...

Du verstehst nicht. Beim FTP braucht ein Angreifer nicht deine Anwendung zu analysieren, er muß noch nichtmal deine Software besitzen geschweige denn Zugriff auf den Rechner haben auf dem deine Software ein FTP durchführt. Er muß nur die ersten Datenpackete zwischen deiner FTP Anwendung zum FTP Server abfangen, denn darin steht unverschlüsselt als direkt lesbarer Text der FTP Benutzername und dessen Passwort.

Es gibt aber sogannante FTPS Server, ein abgewandeltetes FTP mit SSL Schlüsselaustausch.

In deinem Falle benötigt ein Anwender im Bestcase seinen PC, deine Software und einen TCP/IP Packet Sniffer (die es wie Sand am Meer als Freeware gibt). Er startet seinen Sniffer der ausgehende Verbindungen zum Port 21 überwacht. Er startet deine Anwendung, baut damit ein FTP auf und schon hat er dein Passwort+Benutzernamen im Sniffer im ersten FTP Packet lesbar vorsich. Alles in allem benötigt er länger mit der Installation deiner Software als deine Anwendung zu knacken, er benötigt mehr Zeit um sein WindowsXP hochzufahren, er muß länger auf eine Tasse Kaffee warten, er wird mehr Zeit benötigen seine Freunde mit deinem Passwort zu versorgen als es zu knacken. Er wird wahrscheinlich mehr Zeit damit verbrauchen deinen FTP Server zu cleanen und temporär illegale Dateien über deinen FTP Server mit seinen Freunden auszutauschen.

Und bei all dem kannst du Monate damit verplempern dein Passwort in der EXE mit allen möglichen Tricks zu verstecken, zu verschlüsseln und weis Gott noch was.

>> ein profi kommt immer ran ...

Nein eben nicht. Bei wirklich sicher konstruierten Systemen haben die Experten diese so konstruiert das sie basierend auf der heutigen Technologie per mathematischer Interpolation exakt beweisen können das der Angreifer mehrere Milliarden Jahre benötigte um das System zu knacken. Das einzigste was diese Experten nicht vorausberechnen können ist die Frage nach den zukünftigen mathematischen Entdeckungen in zb. 100 Jahren. Sie können aber mit an Sicherheit grenzender Wahrscheinlichkeit Systeme konstruieren die niemand heute in den nächsten 20-50 Jahren knacken wird. Es ist also so das man sehr wohl praktisch unknackbare Systeme konstruieren kann und defacto auch schon längst benutzt.

Man kann also Profi sein wie man will, man müsste schon ein super genialer Profi sein. Tja, der würde aber ziemlich schnell auf der anderen Seite für viel Geld arbeiten

Es ist also ein sehr weites Feld was wir als Normalos als "sicher" empfinden. Wenn du wie du sagst das du ein Passwort in deiner EXE verstecken möchtest dann ist dies eben beiweitem nicht sicher, sondern absolut unsicher !

Gruß Hagen

Und User ist "suppi ..."
oder umgekehrt.

Das sollte eigentlich nur eine Meldung sein

Die Chance besteht doch aber immer, durch Zufall, den Code einzutippen, auch wenn die Wahrscheinlichkeit gleich null sein wird ...

Aber nun gut ... Ich habe es verstanden ...

Sicher doch. Man muß aber immer präzise sein. Die Wahrscheinlichkeit durch Zufall einen sicheren Schlüssel zu finden beträgt 1/2^Schlüssellänge in Bits. Mit heutiger propagierter Schlüssellänge von größer 128 Bit beträgt die Wahrscheinlichkeit also nicht 0 oder annähernd 0 sondern exakt 1/2^128, was unendlich größer als NULL-Wahrscheinlichkeit ist.

Da es eber immer noch diese sehr geringe Wahrscheinlichkeit gibt versucht man zwei Strategien anzuwenden
1.) die Schlüssel werden in ihrer Lebenszeit begrenzt, zb. auf maximal 1 Jahr
2.) man verteilt viele unterschiedliche Schlüssel statt immer die gleichen zu benutzen

Beides schafft selbst mit relativ "unsicheren" Systemen eine erhöhte Sicherheit, quasi einen zeitlichen Vorsprung.

Gruß Hagen

Mit anderen Worten ist es für einen wie mich fast unmöglich zu programmieren