Forum: Programmieren allgemein
by negaH,
5. Jun 2006
@Phoenix:
ja dies stimmt auch ;) Ich gehe also davon aus das der Computer des Clients NICHT kompromittiert wurde.
Denoch betrachte ich auch den Worstcase und der ist erreicht wenn ich davon ausgehen muß das der Client und sein Rechner ein Angreifer sind.
Und wenn wir nun beide Annahmen vergleichen so ergibt sich folgendes Bild:
1.) Generalschlüssel in der EXE hardcoded gespeichert:
-...
Forum: Programmieren allgemein
by negaH,
2. Jun 2006
Benjamin, ich glaube du nimmst das alles zu persönlich. Klar greife ich eine spezifische Meinung/Aussage an, bzw. versuche einfach nur Irrtümer aufzuklären oder noch zusätzlich interessantes Wissen mit zu geben. Das hat aber rein garnichts damit zu tun WER diese Meinung/Aussage getroffen hat. Es ist mir also Schnuppe ob du oder ein Anderer oder sogar ich selbst diese Aussage getroffen hat.
Es...
Forum: Programmieren allgemein
by negaH,
1. Jun 2006
Siehst du und ich will klarstellen das man nicht nur "scharz & weiß" sieht.
denn auch diese Aussage ist absolutistisch. Mit der Entwicklung neuer Hardware stimmt diese Aussage eben auch nicht mehr. Zur Zeit vollzieht sich nämlich im HW Sektor ein Trend der durchgängigen "Digitalisierung" und Integration der Kryptographie. Das sind solche Sachen wie Änderungen an Datenprotokollen, die...
Forum: Programmieren allgemein
by negaH,
1. Jun 2006
Was nützt dir dies ? Du möchtest von der symmetischen Kryptographie und die a-symmetrische Kryptrographie eines PGPs wechseln. Leider lösst das nicht das konzeptionelle Problem.
Der Anwender der Software oder die Software des Anwenders muß für diesen Anwender als erstes beim Setup einen eigenen a-symmetrischen Schlüssel erzeugen, zb. eben RSA Schlüssel. Der Anwender muß nun
1.) den rivaten...
Forum: Programmieren allgemein
by negaH,
1. Jun 2006
Ähm ??? Also falls das PHP auf deinem eigenem und einbruchsicher geschützten Server läuft könnte dies unter Umständen funktionieren. Alledings handelt man sich enorm viele Probleme für nichts damit ein.
- man muß eine sicherer Datenübertragung im INet sicherstellen
- man benötigt zu jeder Zeit eine INet Verbindung, ohne das Proxies, Rooter, Firewalls etc.pp. dazwischen funken
- man benötigt...
Forum: Programmieren allgemein
by negaH,
1. Jun 2006
1.) bietet keinerlei Schutz. Der Angreifer hat definitiv die höchsten Privilegien auf seinem Rechner auf dem Deine Anwendung läuft. Diese Privilegien sind sogar überdurchschnittlich größer als ein bloßer Admin/SYSTEM Account. Mit Hilfe der entsprechenden Werkzeuge, wie SoftICE, SandBox'en und VM's hat der Angreifer die TOTALE Kontrolle. Ergo: Punkt 1.) ist irrelevant und hilft garnichts. Erst mit...
Forum: Programmieren allgemein
by negaH,
1. Jun 2006
Ich führe am besten einen Vergleich an:
Du sicherst dein Haus mit einem Vorhängeschloß und hängst den Schlüssel für das Schloß direkt daneben an einem Nagel. So wie dieser Schlüssel "an den Mann" gehört (mein Uffz der BW lässt grüßen), gehört dein Passwort in den Kopf des Anwenders, alles andere muß im Falle deines kryptographischen Verfahrens unsicher sein.
Am besten ist der Gedanke das...