AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Netzwerke Delphi Schwere Sicherheitlücke in idHttp? DRINGEND!

Schwere Sicherheitlücke in idHttp? DRINGEND!

Ein Thema von richard_boderich · begonnen am 14. Jul 2005 · letzter Beitrag vom 17. Jul 2005
Antwort Antwort
Seite 1 von 2  1 2   
Benutzerbild von richard_boderich
richard_boderich

Registriert seit: 21. Jun 2004
Ort: Berlin
1.067 Beiträge
 
Delphi 7 Architect
 
#1

Schwere Sicherheitlücke in idHttp? DRINGEND!

  Alt 14. Jul 2005, 17:55
moin jung,

ich hab in ungefaehr 2 h release termin, und steh jetz schon bis zum hals im wasser.
idHttp speichert die angaben zu username und passwort voellig unverschluesselt!
die daten stehen im klartext in der Programm.exe. jeder kiddi der schon mal spielstaende
getunt hat kann das sehen. ich hab auch schon im forum gepostet. da warn dann hinweise wie

idhttp.request.password:=chr(12)+chr(86) usw.

das is voelliger quatsch. nach dem compilieren stehen die passwoerter bei mir trozdem im klartext drin.
jetz hab ich die exe schon mit upx gepackt und man kann den passwortstring immer noch sehen.
brauche schnellstens hilfe. biete auch ein kleines Honorar wenns sein muss
10-20 euros oder so, aber es muss schnell gehen und funktionieren.
mfG Richard

Cimmams schrieb "das einzige was an ArmA gut ist, ist die Grafik bis 100m und der Rest ist so unreal wie unsere Demokratie."
  Mit Zitat antworten Zitat
Benutzerbild von Catbytes
Catbytes

Registriert seit: 7. Sep 2002
Ort: Heckendalheim
353 Beiträge
 
Delphi XE5 Enterprise
 
#2

Re: Schwere Sicherheitlücke in idHttp? DRINGEND!

  Alt 14. Jul 2005, 18:02
Hallo,

was spricht gegen XOR?
Catbytes
  Mit Zitat antworten Zitat
brechi

Registriert seit: 30. Jan 2004
823 Beiträge
 
#3

Re: Schwere Sicherheitlücke in idHttp? DRINGEND!

  Alt 14. Jul 2005, 18:21
vielleicht gehts damit wenn das nicht in der resource drinsteht, ansonsten mussu bei onreate die daten in IDHTTP packen dann sieht man das auch nicht direkt

crypter im anhang (ist von mir in delphi geproggt)
Angehängte Dateien
Dateityp: exe execrypt1.2_164.exe (29,5 KB, 8x aufgerufen)
  Mit Zitat antworten Zitat
Benutzerbild von jim_raynor
jim_raynor

Registriert seit: 17. Okt 2004
Ort: Berlin
1.251 Beiträge
 
Delphi 5 Standard
 
#4

Re: Schwere Sicherheitlücke in idHttp? DRINGEND!

  Alt 14. Jul 2005, 18:24
Zitat von richard_boderich:
das is voelliger quatsch. nach dem compilieren stehen die passwoerter bei mir trozdem im klartext drin.
jetz hab ich die exe schon mit upx gepackt und man kann den passwortstring immer noch sehen.
brauche schnellstens hilfe. biete auch ein kleines Honorar wenns sein muss
10-20 euros oder so, aber es muss schnell gehen und funktionieren.
Wenns so dringend ist, darfst du das nicht im Forum fragen, sondern musst selber aktiv werden.

Vielleicht solltest du dich fragen, warum das Passwort überhaupt fest in der Exe sein muss. Eine Usereingabe oder verschlüsselte Datei wäre vielleicht wesentlich sinnvoller.

Und es ist kein Sicherheitsproblem von idHTTP sondern ein generelles von Delphi dass Strings im Klartext dastehen. Und wenn es jemand drauf anlegt, kommt er immer an das Passwort ran, wenn es direkt in der Exe drin steht (in welcher Form auch immer).
Christian Reich
Schaut euch mein X-COM Remake X-Force: Fight For Destiny ( http://www.xforce-online.de ) an.
  Mit Zitat antworten Zitat
Benutzerbild von Speedmaster
Speedmaster

Registriert seit: 4. Mär 2005
Ort: Karlsruhe
535 Beiträge
 
Delphi 2005 Personal
 
#5

Re: Schwere Sicherheitlücke in idHttp? DRINGEND!

  Alt 14. Jul 2005, 18:32
Schwerer machen kannst du es indem du es Vorher verschlüsselst, und nacher wieder entschlüsselst beim vergleichen!
Felix K.
Zitat:
Siehst du diesen Park da unten?
Jeden Tag lernen sich leute kennen und verlassen einander, und du hast dein ganzes Leben Zeit darin zu gehen!
  Mit Zitat antworten Zitat
bigg
(Gast)

n/a Beiträge
 
#6

Re: Schwere Sicherheitlücke in idHttp? DRINGEND!

  Alt 14. Jul 2005, 18:37
Was heisst: "steht in programm.exe"?
Wenn du das Passwort in deinem Programm fest integrierst, bist du selber schuld.
  Mit Zitat antworten Zitat
marabu

Registriert seit: 6. Apr 2005
10.109 Beiträge
 
#7

Re: Schwere Sicherheitlücke in idHttp? DRINGEND!

  Alt 14. Jul 2005, 19:02
Hier noch mein bescheidener Beitrag.

marabu

Professioneller wäre die Verwaltung des Kennwortes im protected storage oder etwas vergleichbarem - aber das geht bei mir nicht in ein paar Minuten - sorry.
Angehängte Dateien
Dateityp: zip richard_884.zip (5,1 KB, 12x aufgerufen)
  Mit Zitat antworten Zitat
shmia

Registriert seit: 2. Mär 2004
5.508 Beiträge
 
Delphi 5 Professional
 
#8

Re: Schwere Sicherheitlücke in idHttp? DRINGEND!

  Alt 14. Jul 2005, 19:07
Zitat von richard_boderich:
da warn dann hinweise wie

idhttp.request.password:=chr(12)+chr(86) usw.

das is voelliger quatsch. nach dem compilieren stehen die passwoerter bei mir trozdem im klartext drin.
Dann machs halt so:
Delphi-Quellcode:
// das Passwort soll "geheim" lauten
function GetPW:string;
begin
   // Verschleierungstaktik
   result := 'NULLg';
   result := Result +'mBartwurst';
   Insert('ehei', result, 6);
   result := Copy(result, 5, 6);
end;
Ohne Dissassembler geht dann nichts.
Andreas
  Mit Zitat antworten Zitat
brechi

Registriert seit: 30. Jan 2004
823 Beiträge
 
#9

Re: Schwere Sicherheitlücke in idHttp? DRINGEND!

  Alt 14. Jul 2005, 19:16
oder so
Delphi-Quellcode:
var bla: array[0..5] of byte =
 (byte('g') xor 12,
  byte('e') xor 12,
  byte('h') xor 12,
  byte('e') xor 12,
  byte('i') xor 12,
  byte('m') xor 12);

procedure TForm1.FormCreate(Sender: TObject);
var i: integer;
    s: string;
begin
  s := '';
  for i := 0 to 5 do
    s := s+char(bla[i] xor 12);
  form1.caption := s;
end;
  Mit Zitat antworten Zitat
bigg
(Gast)

n/a Beiträge
 
#10

Re: Schwere Sicherheitlücke in idHttp? DRINGEND!

  Alt 14. Jul 2005, 19:34
Wenn es halbwegs sicher sein soll, musst du dir eben etwas einfallen lassen.
Eine Chip-Karte, ein spezielles Lesegerät oder ähnliches könnten dein problem lösen.

Ich würde in keinem Fall, das Passwort im Programm ablegen, auch nicht verschlüsselt.

PS: Es kann im prinzip auch eine eingelegte Diskette / CD-ROM / ein angeschlossener USB-Stick sein.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2   

Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:46 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz