AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Cross-Platform-Entwicklung Delphi Wer kann mal eben meinen Installer testen...

Wer kann mal eben meinen Installer testen...

Ein Thema von Mavarik · begonnen am 3. Feb 2017 · letzter Beitrag vom 8. Feb 2017
Antwort Antwort
Seite 6 von 6   « Erste     456
Benutzerbild von Neutral General
Neutral General
Online

Registriert seit: 16. Jan 2004
Ort: Bendorf
4.943 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#51

AW: Wer kann mal eben meinen Installer testen...

  Alt 3. Feb 2017, 14:28
Aber was sollst - gefunden und behoben - kommt davon, wenn man das RAD neu erfinden will und nicht einfach ein Inno-Setup nimmt...
Was das Rad neu erfinden angeht: ExtractFilePath hätte es wahrscheinlich auch getan
Michael
"Programmers talk about software development on weekends, vacations, and over meals not because they lack imagination,
but because their imagination reveals worlds that others cannot see."
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
3.860 Beiträge
 
Delphi 10.3 Rio
 
#52

AW: Wer kann mal eben meinen Installer testen...

  Alt 3. Feb 2017, 14:51
Aber was sollst - gefunden und behoben - kommt davon, wenn man das RAD neu erfinden will und nicht einfach ein Inno-Setup nimmt...
Was das Rad neu erfinden angeht: ExtractFilePath hätte es wahrscheinlich auch getan
Ist ja kein Path sondern ein Key... Gut - klar ist es ein Path...

Würde mich ggf. an dieser Stelle verwirren... Aber Du hast Recht...

Mavarik
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
3.860 Beiträge
 
Delphi 10.3 Rio
 
#53

AW: Wer kann mal eben meinen Installer testen...

  Alt 3. Feb 2017, 15:27
die Farben zu sehr nach "Feueralarm".
Firemonkey und Feueralarm passt doch... Schön, das es den gewünschten Effekt hat...

Mavarik
  Mit Zitat antworten Zitat
Wosi

Registriert seit: 29. Aug 2007
57 Beiträge
 
#54

AW: Wer kann mal eben meinen Installer testen...

  Alt 7. Feb 2017, 19:57
@Mavarik
Nach 20 Minuten herumspielen bin ich in der Lage, einen bestehenden Account zu kapern und in dessen Namen Bestellungen aufzugeben. Das habe ich natürlich nicht getan. Allerdings solltest du deine IT-Infrastruktur noch mal auf Sicherheit überprüfen. Generell habe ich Zugriff auf alle Kundendaten.

Außerdem enthält das Datum auf der generierten Rechnung ein komisches Datum (07.54.2017).
  Mit Zitat antworten Zitat
Fritzew

Registriert seit: 18. Nov 2015
Ort: Kehl
622 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#55

AW: Wer kann mal eben meinen Installer testen...

  Alt 7. Feb 2017, 23:48
@Mavarik
Nach 20 Minuten herumspielen bin ich in der Lage, einen bestehenden Account zu kapern und in dessen Namen Bestellungen aufzugeben. Das habe ich natürlich nicht getan. Allerdings solltest du deine IT-Infrastruktur noch mal auf Sicherheit überprüfen. Generell habe ich Zugriff auf alle Kundendaten.

Außerdem enthält das Datum auf der generierten Rechnung ein komisches Datum (07.54.2017).
hoffe doch sehr, dass du ihn direkt angeschrieben hast! Oder?
Fritz Westermann
  Mit Zitat antworten Zitat
mensch72

Registriert seit: 6. Feb 2008
754 Beiträge
 
#56

AW: Wer kann mal eben meinen Installer testen...

  Alt 8. Feb 2017, 06:15
Mavarik

Ein öffentliches REST Interface ohne besondere Sessionkey basierte Verschlüsselung zur Replaysicherheit lädt ja förmlich dazu ein, sich mal genauer das Programm und den Netzwerkdatenverkehr anzuschaun.

Und es gibt viele Zacherl "mit etwas Erfahrung" im Reverse-Engineering Bereich

Ich sage hier jetzt nur mal noch die Stichworte "Stringkonstanten" und "SharedSource", wo scheinbar für die EndUser Anwendung teils die gleichen Units wie für das eigene AdminTool verwendet und so bei Delphi voll mit eingelinkt werden... so kommt man ohne viel Aufwand nur mit dem File der ClientAnwendung und etwas Phantasie an die "Commmand&Control" Logik der Administration.

Das ist meinerseits nur ein Hinweis und keine Kritik... Wenn du für dein Projekt mit deiner Risikoanalyse für dich entscheidest, das deine Lösung ausreichend ist und du mit dem Restrisiko bezüglich deiner Kunden kulant umgehst, dann ist das eben so! Banken machen das im Bereich OnlinePayment auch nicht anders... die paar KommaProzent an Verlust aus FakeBuchungen bei z.B. Kreditkarten tollerieren die einfach weil es ihnen der nötige Zusatzaufwand für die technisch mögliche "aktuelle Standardsicherheit" nicht Wert ist.


Ist man böse wenn man an sowas auch nur denkt? NEIN!
Es gehört bei uns im Softwaretest für den Bankenbereich zum StandardAudit und läuft dabei im FullTrace-Step1 völlig ohne manuellen Zusatzaufwand.
Ich habe gerade einfach kurz mal aus Langerweile&Neugier unsere VM in VM Test-Umgebung verwendet, da hängt in der StandardAnalyse-ContainerVM eine eigene WireShark-API-Anwendung dazwischen, welche auch wenn nötig für SSL&TLS Analyse per VMware-API (RAM)SnapShots der ProbeVM Event getriggert macht.
(da du keine VM und/oder Debug Sperren in deiner Software implementiert hast, stört dich das scheinbar ja auch nicht)


Ich schicke z.B. unsere eigenen "Trading" Sachen freiwillig an einen im INet bekannten "Spezialisten" der auf seiner Warez WebSite im Prinzip 80% der weltweit in diesem Bereich verfügbaren Software "frei" anbietet. Ich habe da auch schon ein paar tausend USD via BitCoin dafür bezahlt, das er mir seine "Hacks" unserer Software wenigstens (vorab) mitteilt und beweist. Er sieht es als "Sport", wir auch!... aktuell sind wir serverseitig mit eigener Logik und clientseitig mit den Sachen von https://www.oreans.com/products.php "relativ" sicher... war&ist aber auch viel Aufwand und kostete uns auch etwas Geld.
  Mit Zitat antworten Zitat
Benutzerbild von Mavarik
Mavarik

Registriert seit: 9. Feb 2006
Ort: Stolberg (Rhld)
3.860 Beiträge
 
Delphi 10.3 Rio
 
#57

AW: Wer kann mal eben meinen Installer testen...

  Alt 8. Feb 2017, 10:30
@Mavarik
Nach 20 Minuten herumspielen bin ich in der Lage, einen bestehenden Account zu kapern und in dessen Namen Bestellungen aufzugeben. Das habe ich natürlich nicht getan. Allerdings solltest du deine IT-Infrastruktur noch mal auf Sicherheit überprüfen. Generell habe ich Zugriff auf alle Kundendaten.

Außerdem enthält das Datum auf der generierten Rechnung ein komisches Datum (07.54.2017).
Ok Mit dem Datum schau ich mir an...

Du konntest von einem anderen Kunden die Daten einsehen... OK Das währe schlecht.. Sicher, das Du das nicht mit dem Editor - für den Kunden - der seine Daten ändern kann verwechselt hast?


Ein öffentliches REST Interface ohne besondere Sessionkey basierte Verschlüsselung zur Replaysicherheit lädt ja förmlich dazu ein, sich mal genauer das Programm und den Netzwerkdatenverkehr anzuschaun.

Und es gibt viele Zacherl "mit etwas Erfahrung" im Reverse-Engineering Bereich

Ich sage hier jetzt nur mal noch die Stichworte "Stringkonstanten" und "SharedSource", wo scheinbar für die EndUser Anwendung teils die gleichen Units wie für das eigene AdminTool verwendet und so bei Delphi voll mit eingelinkt werden... so kommt man ohne viel Aufwand nur mit dem File der ClientAnwendung und etwas Phantasie an die "Commmand&Control" Logik der Administration.
Logisch, aber "eigentlich" sollte der Installer keine Units verwenden, die für mein Admin Tool verwendet werden.

Trotzdem Danke für den Hinweis. Da muss ich nochmal die IFDEF's durchschauen.

Danke für Euer Feedback.
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 15:13 Uhr.
Powered by vBulletin® Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2019 by Daniel R. Wolf