Hi@all.

Ich bastele gerade an einer Online Registrierung für meine Programme. Bisher funktioniert dies so:

1) Ich verbinde mich per libmysql.dll mit dem MySQL Server im Internet. Username und Passwort werden im Programm miteinkompiliert. Das Programm überprüft in der DB einige Einträge (Besitzt der Benutzer xyz, mit dem Passwort zyx eine Lizenz für das Program "Test"?) und schreibt anschließend einen Eintrag in eine Tabelle, die alle lizenzsierten Computer beinhaltet.

2) Ich habe also Lese und Schreibzugriff auf die DB. Was mir etwas Sorgen macht, ist, dass die Benutzerdaten, welche diese beim Kauf der Software eingeben, sowie deren Benutzername und Passwort in klartext in der DB stehen.

Meine Frage: Wie sicher ist mein Vorgehen? Reichen MySQL-Benutzername und Passwort aus, um eine Datenbank mit sämtlichen Useraccounts in Klartext abzusichern? Oder haltet ihr das für "grob fahrlässig?"

Vielen Dank für eure Hilfe,
Michael

Ja ist es. Gib mir die Exe und in 5 Minuten lege ich alle Kundendaten in irgendeine Tauschbörse und lösche "vorsorglich" deinen Datenbestand!

Sowas solltest du über eine WebServerice mit SOAP oder einfacher JSON machen. Dort aber auch die Abfragen absichern das man nicht einfach die Übermittelste Daten per Sniffer abgreift und dann selbst munder seriennummern durchprobiert.

Schau dir auch mal gesaltete ("gesalzene") MD5-Hashes an! Ebenso hat MySQL ja eine eigene PASSWORT-Methode für SQL-Queries.

Die PASSWORD-Methode ist aber zwischenzeitlich schon einmal umgestellt worden, so dass eine Konvertierung notwendig wurde. Von daher würde ich persönlich MD5 bevorzugen.

UI, das ist super zu wissen. Weißt du auch wann das der Fall war? (Version)

IIRC von 4.0 auf 4.1. Siehe Artikel hier.

Das hört sich interessant an, was genau ist eine PASSWORT-Methode (bin ein relativer DB Neuling, sorry, wenn die Frage ein wenig unerfahren klingt)? Habt ihr etwas Beispielcode?

Grüße
Michael

Damit ist wohl nur gemeint, dass MySql eine eigene Methode hat das Passwort zu verschlüsseln. Dieses zumindest wird nicht unverschlüsselt übers Netz gejagt. Alles andere ist aber unverschlüsselt.

nicht unbedingt, bei MySQL kannst Du auch SSL konfigurieren !

Liebe Grüße, madDoc

Wir haben unsere Lizenzprüfung vor einiger Zeit auf SOAP umgestellt, so das unsere Anwendungen nur noch eine SOAP-Funktion mit einigen Parameterns aufrufen und als Ergebnis Ja oder Nein zurück bekommen, ohne das irgendwelche Benutzernamen und Passwörter übertragen werden müssen.
Da unsere Lizenzen hardwaregebunden sind und wir die Erstinstallation der Software für den Kunden durchführen, ist es für uns vertretbar, das die Lizenznummern im Klartext über das Netz gesendet werden.