AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein Wie "offen" ist ein Password (String) im Arbeitsspeicher
Thema durchsuchen
Ansicht
Themen-Optionen

Wie "offen" ist ein Password (String) im Arbeitsspeicher

Ein Thema von heri · begonnen am 1. Jun 2006 · letzter Beitrag vom 5. Jun 2006
Antwort Antwort
Seite 3 von 3     123   
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#21

Re: Wie "offen" ist ein Password (String) im Arbei

  Alt 2. Jun 2006, 14:55
Benjamin, ich glaube du nimmst das alles zu persönlich. Klar greife ich eine spezifische Meinung/Aussage an, bzw. versuche einfach nur Irrtümer aufzuklären oder noch zusätzlich interessantes Wissen mit zu geben. Das hat aber rein garnichts damit zu tun WER diese Meinung/Aussage getroffen hat. Es ist mir also Schnuppe ob du oder ein Anderer oder sogar ich selbst diese Aussage getroffen hat.

Es ist zwar richtig wenn man versucht ausschließlich nur auf die Frage zu antworten und dabei nicht Offtopic zu werden. Aber das ist mir einfach zu trocken und verdirbt mir jeglichen Spaß an einem Forum. Also gerade weil man hier in den Threads Persönlichkeiten/Menschen antrifft die natürlich auch ihre persönlichen Meinungen offenbaren macht mir das so viel Spaß.

Wenn also meine Ausführungen über die, meiner Meinung nach, in naher Zukunft existenten Möglichkeiten zwar Off Topic sind so finde ich es denoch interessant. Und ich meine eben das das nicht nur für mich interessant sein dürfte. Ergo: poste ichs hier.

Die eigentliche Eingangsfrage ist ja auch schon mit den ersten 3-4 Postings beantwortet worden und die nachfolgenden Postings betrachte ich nur noch als interessante Randinformationen.

Zitat:
Ach Hagen ... das wir 2 uns immer in die Wolle bekommen ist komisch.
Siehst du, und exakt das wäre mir niemals aufgefallen. Ich kann mich nicht daran erinnern das wir beide schon öfters aneinander geraten wären. Einfach weil es für mich uninteressant ist WER eine Aussage/Meinung vertritt die kontrahär zu meiner Meinung ist. Ich bin quasi in keinster Weise nachtragend und verschwende meine eh schon wenigen Hirnzellen nicht an solche Dinge

Aus meiner Sicht sind wir eben NICHT aneinander geraden sondern nur unsere unterschiedlichen Ansichten. Tja, und es ist auch gut so das es unterschiedliche Ansichten gibt, das ist doch das Normalste der Welt.

Gruß Hagen
  Mit Zitat antworten Zitat
Benutzerbild von chaosben
chaosben

Registriert seit: 27. Apr 2005
Ort: Görlitz
1.358 Beiträge
 
Delphi XE2 Professional
 
#22

Re: Wie "offen" ist ein Password (String) im Arbei

  Alt 3. Jun 2006, 22:59
Committed;
Benjamin Schwarze
If I have seen further it is by standing on the shoulders of Giants. (Isaac Newton)
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.639 Beiträge
 
#23

Re: Wie "offen" ist ein Password (String) im Arbei

  Alt 4. Jun 2006, 15:43
Zitat von negaH:
Ich empfehle das Passwort durch den Anwender eingeben zu lassen und damit auch Anwenderbezogen seine Daten zu verschlüsseln.
Was unser Problem aber nicht löst:
Ab dem Zeitpunkt der Eingabe befindet sich das Passwort im Speicher der Applikation, wobei gefragt wurde wie sicher eben genau dies ist (unabhängig davon, ob die Verschlüsselung nun in einer DLL oder wo auch immer stattfindet).

Zitat:
Doch heute Nacht kam mir mit schrecken plötzlich folgender Gedanke:
wie "offen" für Hacker ist meine Variable mit dem Passwort in einer DLL überhaupt?

Beispiel - Funktionen der DLL:

- Open(AFilename, APassword: WideString)
öffnet die Textdatei und schreibt das Password in eine private Variable (weil ich diese in der DLL sonst noch mehrmals benötige)
Ich gehe nämlich gerade davon aus, dass nur der algorithmus in der DLL liegt und das PW dort übergeben wird - ob das nun hardcoded drin war oder vom User vorher eingegeben wurde - davon wird hier gar nix gesagt. Also gehen wir mal davon aus, es wurde erst frisch eingegeben...
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
Benutzerbild von negaH
negaH

Registriert seit: 25. Jun 2003
Ort: Thüringen
2.950 Beiträge
 
#24

Re: Wie "offen" ist ein Password (String) im Arbei

  Alt 5. Jun 2006, 14:32
@Phoenix:

ja dies stimmt auch Ich gehe also davon aus das der Computer des Clients NICHT kompromittiert wurde.
Denoch betrachte ich auch den Worstcase und der ist erreicht wenn ich davon ausgehen muß das der Client und sein Rechner ein Angreifer sind.

Und wenn wir nun beide Annahmen vergleichen so ergibt sich folgendes Bild:

1.) Generalschlüssel in der EXE hardcoded gespeichert:
- Angreifer kann erfolgreich ALLE Benutzer der Software kompromittieren, offline
- Angreifer kann somit an ALLE Benutzerdaten rankommen

2.) kein Generalschlüssel und Benutzer verschlüsseln ihre Daten mit einem eigenen Passwort
- Angreifer muß alle Clienten/Rechner kompromittieren, ein ungleich höherer Aufwand, meistens online
- Angreifer kommt bei einem kompromitierten System/Client nur an dessen Daten ran

Also selbst unter der Annahme das die Clients und deren Rechner Angreifer darstellen ergeben sich auf Grund des unterschiedlichen kryptographischen Konzeptes ganz andere Sicherheitsschrabken.

Gruß Hagen
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 3     123   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:45 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz