Schönen guten Morgen Praxis

Ich habe eine Datei auf einem Webserver hinterlegt.

Nun möchte ich von meinem Programm aus auf diese Datei zugreifen und herunterladen.

Allerdings möchte ich, dass die Datei nur über mein Programm heruntergeladen werden kann und nicht über den direkten Aufruf der URL.

Denkbar wäre es Cookies zu setzten und erst dann Zugriff auf die Datei zuzulassen?

Des weiteren Schreiben Programm, wie beispielsweise Wireshark, den Netzwerverkehr mit. Lässt sich dieser Verschlüsseln?


Was wäre hier die optimale Herangehensweise?

Verschlüsselung über SSL - das ist in den allermeisten Fällen hinreichend sicher. Ein entsprechend hochwertiges Zertifikat vorausgesetzt.

Für die Authentifizierung kommt dann eines der je nach Übertragungsmethode geeigneten Verfahren in Frage. Wir regeln Dateizugriffe meist über spezialisierte Webservices, die mittels OAuth2 abgesichert sind. Für unsere Szenarien ist das hinreichend sicher und vergleichsweise simpel zu realisieren.

Leg die Datei einfach auf Deinen Webserver...

Dann mit dem eigenen Programm runter laden und "entpacken"...

Ohne Deine Software kann keiner etwas mit der Datei anfangen, weil keine die Entschlüsselung kennt...

Dann kannst Du die URL auch in Google eintragen...

So Einfach...

Leider schreibst Du nicht wo der Webserver steht, LAN oder WAN? Bei einem WAN Standort gehe davon aus das nichts sicher ist was dort gespeichert ist. Es wird nur sicher wenn es verschlüsselt ist.

Ein Packer wie 7z geht mit Verschlüsselung und lässt sich auch in Delphi aufrufen. Des weiteren kannst Du ein FTP oder SFTP Protokoll benutzen um Dateien hoch oder runter zu laden.

Im FTP Server, auf deinem Webserver, kannst Du dann Benutzer einrichten die auf bestimmte Dateien zugriff haben oder nicht. Die Rechte Regeln sind aber schon wieder ein Thema für sich.

Ist ja auch alles überhaupt nicht nötig...


Ich nehme mir eine Datei... Packe die mit einem beliebigen Packer... Dann zerhacke ich die Datei in 256 Byte happchen bei großen oder 16 Byte bei kleinen Dateien...

Dann füge ich die Datei per Zufall wieder zusammen und merke mir wo welcher Happen jetzt steht in meinen Programm...

Ich kann natürlich auch AES/RSA nehmen... Aber das andere geht ohne "alles"...

Hallo,

@Mavarik weil heute eine Verschlüsselung als sicher gilt, muss dies nicht für immer gelten.

Der TE wollte ein Verfahren, dass wie folgt funktioniert

Dann musst du tatsächlich erstmal eine Authentifizierung durchführen, dies kann über erfolgen. Es gibt sicher auch noch andere Verfahren, um sicherzustellen ob jemand die Datei herunterladen darf oder dieser auch imstande ist diese zu entschlüsseln.

mfg

frank

Hallo,

interessante Lösungsvorschläge. Weil ich OAuth2 noch nicht eingesetzt habe, würde mich interessieren, wie es da mit Wireshark aussieht. Weil...

Also braucht's dazu noch https, oder?

Nur mal so vom Spielfeldrand (ich habe damit einfach keine Erfahrung):

Das Programm läuft auf dem Kundenrechner, d.h. der hat alle Möglichkeiten um einzugreifen: z.B. den Netzwerkverkehr absichtlich über einen eigenen http-Server umlenken und schon ist https umsonst (-> Man in the Middle) - außer der Server und der Client prüfen explizit das Zertifikat des jeweils gegenüber. Oder habe ich an der generellen Arbeitsweise von https was nicht verstanden?

-> wenn das so passt, dann muss die Datei weiter verschlüsselt sein um das abzusichern - und hier haben wir das Problem, dass der Schlüssel zum entschlüsseln dem Clientprogramm bekannt sein muss -> um damit zu arbeiten muss der irgend wann in den Speicher und ist damit potentiell abgreifbar. Und hier spielt es nur eine kleine Rolle wie verschlüsselt wird (AES, PGP,...) wenn der Schlüssel zum entschlüsseln auslesbar ist.

Daher sollte erst klar sein gegen was die Absicherung helfen soll, eine (nahezu) 100% Sicherheit sehe ich bei den Randbedingungen nicht gegeben.

Grüße

@Lemmy So sehe ich das auch. Denn, bevor ich beschreibe wie ich das Problem bei meinem Lizenz-Server (um so was Ähnliches geht es wohl hier auch) gelöst habe, wäre es zudem wissenswert, wie hoch das monatliche Budget ist. Denn von nix kommt nix. Weil, ein bischen Sicherheit taugt nichts, und kostet nichts, oder nicht viel, und wenn man(n) mehr will, scheitert's meistens schon am Geld.

Hi,

ich bin erstaunt dass das noch keiner geschrieben hat.

Das Vorhaben ist schlichtweg nicht möglich. Der Anwender hat vollen Zugriff auf seinen Computer und kann somit alles Geschehen dort mitlesen und manipulieren. Eine Verschlüsselung bringt nichts, da der Schlüssel auch auf dem PC liegen muss. Eine Authentifizierung bringt ebenso nichts, da der Schlüssel mitgeliefert werden muss.

Es ist allenfalls möglich das Vorhaben zu erschweren. Man sollte sich aber hier im Klaren sein, dass dies keine tatsächliche Sicherheit bietet. Wenn vollständige Sicherheit wirklich nötig ist (und ich vermute dem ist nicht so), dann muss wohl die Strategie überdacht werden. Gerade wenn es um Kopierschutzmaßnahmen geht, würde ich empfehlen mehr Zeit in das Produkt statt in Security through obscurity zu stecken.

Es läuft letztendlich also darauf hinaus, wie schwer man es dem Anwender machen möchte. Es wäre sinnvoll, wenn du uns verrätst, wozu du das brauchst. Dann können wir dir sicherlich besser helfen.

Das sehe ich aber anders. Sicherheitslösungen die Geld kosten, sind von Firmen die diese nicht frei zur Verfügung stellen. Und Sicherheitslösungen die nicht frei sind, können nicht von jedermann überprüft werden. Damit sind sie per-se nicht sicher.