Hallo,

sind mit Delphi erstelle Programm grundsätzlich "sicherer", als mit anderen Sprachen wie z.B. C? In Delphi gibt es ja die Typisierung und Stack-Overflows können nicht vorkommen, wenn bestimmte Dinge nicht tut (welche wären das)? Bei mit C erstellten programme liest man ja ständig, dass durch Stack-Overflows enorme Sicherheitslücken aufgetreten sind.

Hintergrund ist, dass ich einem Kunden begründen muss, warum mein Delphi-Programm sicher ist. Es ist ein Programm, das lokal bei ihm ohne installation läuft. Es zeigt kurze Hilfe-Animation in einem eingebetteten Chrome-Browser (HTML5/SVG) an. Mehr nicht. Ich muss begründen, warum das kein Sicherheitsrisiko für seine IT ist. Admin-Rechte/Internetzuggang braucht man auch nicht. Was könnte man da noch nennen?

Der Kunde hat Angst, dass wenn dort eine Sicherheitslücke auftreten sollte (was soll das hier sein) der Angreifer Schaden auf seinen System anrichtgen könnte oder sogar Vollzugriff auf alles bekommt.

Nuja, wenn du einen Browser einbettest, dann hast du schonmal alle Sicherheitsprobleme drin, die der Browser auch hat.

Aber davon abgesehen: Welche Möglichkeiten zur Eingabe von Daten bietet das Progremm denn? Spielt es nur eine vorgegebene Animation ab? Dann besteht wenig Gefahr - es sei denn, dein Kunde unterstellt dir bösartige Absichten.

Oder kann der Anwender eigene (oder von Dritten, ggf. bösartige) Animationen einbetten und anzeigen lassen? Dann wäre das potentielle Problem deutlich größer - ungepatchte Bugs in der Browser-Engine wären dann unter Umständen auch dein Problem.

Welches Programm hat nicht seine "Probleme". Die meisten kommen aber aus dem Betriebssystem...

...der typische Layer 8 Fehler. Unbekannte Mailanhänge z.B. öffen. Davor sollte sich die IT fürchten. Nicht vor Delphi.

lass einfach Schwachstellenscanner dagegen laufen und schicke ihm den Bericht.

Hast Du eine Empfehlung für so einen Scanner?

Oder, falls die SVG-Dateien irgendwo auf dem Rechner oder Netzwerk abgelegt sind, könnten diese unabhängig vom Programm manipuliert werden. Darauf hat das Programm dann keinen Einfluss.

Kali-Linux als Image besorgen, da ist https://openvas.org/ mit drin. Ansonsten bei Web ist https://owasp.org eine gute Wahl.

Es ist ja nur die Chrome-"Engine" ohne die Chrome-GUI. Die GUI ist ja in Delphi erstellt. Wie könnte man das Nutzen um daraus einen Angriff zu starten?

Er kann einige Dinge konfigueren. Welche Animationen möchte er in welcher Häufikeit sehen. Mehere Hintereinander oder nur eine und sowas in der Art.


Nein, kann er nicht. Wäre dann aber auch sein Problem, wenn er selbst Schadcode dort reinladen würde.

Das stimmt. ALLEs was das Programm braucht ist aber im Programmorder und "Program Files". Durch UAC mit Schreibschutz für nicht Admins.

Die Engine wird die HTML- und SVG-Dateien laden und verarbeiten. Wenn dabei ein "Buffer Overflow" passiert, über den der Angreifer (der das HTML/SVG böswillig manipuliert hat) dann seinen Code ausführen kann, dann geht das - völlig egal, was deine GUI macht.

Da dein Programm aber praktisch keine Eingaben von außen erlaubt (außer ein paar Klicks und Einstellungen), und dein Programm nicht viel mehr zu sein scheint als eine selbststartende Animation, würde ich das dem Kunden so weitergeben. Wo keine komplexen User-Eingaben möglich sind, kann auch kein Angreifer Unsinn machen.

Dann hat der Angreifer aber schon Zugriff auf das System. Dann sind Security-Probleme im Code von irgendwelchen Programmen auch (fast) egal.