AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Netzwerke Delphi Abhören vom Passwort beim Einloggen (FTP-Server) verhindern?
Thema durchsuchen
Ansicht
Themen-Optionen

Abhören vom Passwort beim Einloggen (FTP-Server) verhindern?

Ein Thema von simlei · begonnen am 25. Jul 2006 · letzter Beitrag vom 26. Jul 2006
Antwort Antwort
simlei

Registriert seit: 23. Nov 2005
119 Beiträge
 
Delphi 7 Professional
 
#1

Abhören vom Passwort beim Einloggen (FTP-Server) verhindern?

  Alt 25. Jul 2006, 21:41
Hallo!
Ich habe ein Programm geschrieben, das über IdFTP auf einen FTP-Server zugreift, der natürlich ein Login mit Username und Passwort verlangt. Wird das Programm an andere weitergegeben, besteht doch jetzt das Problem, dass diese das Passwort herausfinden können. Gegen Einen Angriff mit einem Debugger o.ä. kann ich mich ja noch relativ gut sabsichern, indem ich das Passwort im Programm verstecke/verschlüssle, so dass es zumindest sehr schwer wird das Passwort über z.B. OllyDBG o.ä. herauszufinden.
Aber versucht man es mit Ethereal oder ähnlichem, so liegt die Sache anders: Hier kann das Passwort nich verschlüsselt werden; es muss "echt" übertragen werden, und da ist es leicht eben mit Ethereal das Passwort herauszufinden...
Frage: Hat jemand eine Idee, wie ich das verhindern kann?
  Mit Zitat antworten Zitat
Klaus01

Registriert seit: 30. Nov 2005
Ort: München
5.771 Beiträge
 
Delphi 10.4 Sydney
 
#2

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind

  Alt 25. Jul 2006, 21:44
Es ist beim FTP Protokol festgelegt, daß das Passwort
im Klartext übertragen wird. Aus diesem Grunde wurde auch
SFTP und SCP entwickelt.

Grüße
Klaus
Klaus
  Mit Zitat antworten Zitat
Benutzerbild von faux
faux

Registriert seit: 18. Apr 2004
Ort: Linz
2.044 Beiträge
 
Turbo Delphi für Win32
 
#3

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind

  Alt 25. Jul 2006, 21:45
Zitat von simlei:
Hat jemand eine Idee, wie ich das verhindern kann?
Wenn die Daten von dir (als Programmierer) hardgecodet eingegeben wurden, gibt keine sichere Möglichkeit, da, wie du bereits gesagt hast, die Daten Plain-Text versandt werden müssen.
Ansonsten kannst du dir Implizites SSL ansehen.

Grüße
Faux
Faux Manuel
Wer weiß, dass er nichts weiß, weiß mehr, als der der nicht weiß, dass er nichts weiß.
GoTrillian
  Mit Zitat antworten Zitat
Benutzerbild von SirThornberry
SirThornberry
(Moderator)

Registriert seit: 23. Sep 2003
Ort: Bockwen
12.235 Beiträge
 
Delphi 2006 Professional
 
#4

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind

  Alt 25. Jul 2006, 21:48
passwörter gehören einfach nicht in eine Exe. Wie du selbst schon bemerkt hast kann man das mit Disassemblern und Debugern trotzdem rausfinden. Anstelle des FTP-Protokolls könntest du einfach die Daten zum Beispiel an ein PHP-Script senden welches die Daten dann ablegt. So hat der nutzer nicht kompletten Zugriff auf deinen kompletten FTP-Server sondern kann eben nur Dateien hochladen.

Ich bräuchte mir nichtmal die Arbeit des Debuggens machen. Ich würde einfach schauen zu welchem Server du verbindest. Dann würde ich mein Nameserver so konfigurieren das du zu meinem Server verbindest, und mit einfach anzeigen lassen mit welchem Passwort du versucht hast dich einzuloggen.
Jens
Mit Source ist es wie mit Kunst - Hauptsache der Künstler versteht's
  Mit Zitat antworten Zitat
Klaus01

Registriert seit: 30. Nov 2005
Ort: München
5.771 Beiträge
 
Delphi 10.4 Sydney
 
#5

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind

  Alt 25. Jul 2006, 21:49
Vielleicht hilft Dir auch das hier weieter -> http://www.planet3dnow.de/vbulletin/...d.php?t=230052

Grüße
Klaus
Klaus
  Mit Zitat antworten Zitat
simlei

Registriert seit: 23. Nov 2005
119 Beiträge
 
Delphi 7 Professional
 
#6

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind

  Alt 26. Jul 2006, 00:23
also SSL möchte ich mir jetzt nicht extra ansehen und von PHP hab ich keine ahnung
Weiß jmd. ein gutes Tutorial fürs Debuggen?dann kann ich mich wenigstens hier mal reindenken und schaun wie ich diesen Teil abschotte.
  Mit Zitat antworten Zitat
Benutzerbild von Stefan Hueg
Stefan Hueg

Registriert seit: 13. Jun 2004
Ort: Gießen
187 Beiträge
 
Delphi 2006 Professional
 
#7

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind

  Alt 26. Jul 2006, 02:00
Ok mal nachdenken:

1. Möglichkeit
-Du könntest versuchen über FindWindow z.B. sehen ob die bekannten Debugger wie OllyDbg, SoftICE etc. laufen

2. Möglichkeit
-Du schaust dir mal diesen Link an.

3. Möglichkeit
-Versuch deine Exe mit einem möglichst guten Crypter zu verschlüssen (ist nur pseudo-Sicherheit da eh eine unkomprimierte Exe im Speicher liegen muss)

So das wären erstmal Dinge um das Debuggen zu verhindern. Wegen dem Passwort auslesen:

1. Möglichkeit
-Du schreibst dir nen eigenen FTP Server - Fällt aber vermutlich weg da du vermutlich nen externen FTP auf nem Webhoster hast

2. Möglichkeit
-Du verwendest, wie bereits genannt, SFTP oder SCP

Wie man sieht ist die ganze Geschichte gar nicht so leicht zu lösen. Wie bereits genannt ist FTP nunmal eben ein Klartextprotokoll genau wie Telnet.

Gruß,

Stefan
Stefan Hueg
  Mit Zitat antworten Zitat
Benutzerbild von faux
faux

Registriert seit: 18. Apr 2004
Ort: Linz
2.044 Beiträge
 
Turbo Delphi für Win32
 
#8

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind

  Alt 26. Jul 2006, 08:03
Zitat von Stefan Hueg:
Wie man sieht ist die ganze Geschichte gar nicht so leicht zu lösen.
Wenn mans genau nimmt, kann man die Geschichte ohne SSL (also Verschlüsseltes Senden) garnicht lösen, da, wie du bereits erkannt hast, das passwort Plain-Text versandt werden muss, und alles was den Computer in Plain-Text verlässt, kann jeder mit etwas Geschick auch abfangen und einsehen.


Zitat von simlei:
und von PHP hab ich keine ahnung.
Vielleicht hift dir der Begriff HTTP-Tunnel etwas.

Grüße
Faux
Faux Manuel
Wer weiß, dass er nichts weiß, weiß mehr, als der der nicht weiß, dass er nichts weiß.
GoTrillian
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:53 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz