Zitat von
rai29:
Das Problem mit den Daten auf dem Client-PC scheint sich aber wohl nicht lösen zu lassen. Die Daten müssen dort nämlich auch ohne Verbindung zum Zentralserver verwendbar sein solange die Lizenz gültig ist. Wenn der Zugriff auf die
DB selbst wenn Sie verschlüsselt ist, nicht ausreichend abgesichert werden kann, wie wäre es dann mit verschlüsselten Daten in der (offen zugänglichen) Client-
DB? Also, die Dateneinträge in der
DB zB. nach Serialisierung verschlüsseln. Der clientabhängige Key würde dann zum Entschlüsseln der Daten innerhalb der Anwendung verwendet werden. Solange diese (mit gültiger Lizenzdatei) funktioniert, hätte der Benutzer ja ohnehin Zugriff darauf, so dass dort ein Abfangen vielleicht weniger interessant wäre. Ich denke, es wäre zudem schwerer den Entschlüsselungsmechanismus in der Anwendung zu durchschauen und den Key zu ermitteln.
Was haltet ihr grundsätzlich von der Idee einen für die Funktion (
DB-Zugriff) notwendigen Key in der lizenzdatei zu verschlüsseln?
Daten auf dem Clienten zwischenzuspeichern, bis eine Onlineverbindung besteht, ist so schon OK. Aber die Daten auf dem Client-PC können niemals geheim bleiben. Wenn du eine ungeschützte Datenbank mit verschlüsselten Daten befüllst, könnte der Nutzer nur die internen Datenströme mitzulesen, den Algorithmus durch RE herausfinden etc. Auf diese weiße ist es Hackern auch gelungen, die Datenströme von WMP mitzulesen und somit für einige Zeit DRM-geschützte Musik dauerhaft zu entschlüsseln. Kurz: Du kannst niemals ein Geheimnis auf einer fremden Maschine speichern oder verwalten und dabei auf der sicheren Seite sein.