Forum: Programmieren allgemein
by negaH,
13. Jan 2007
;) und deswegen meinte ich das diese Aufgabe die interessante ist. Allerdings ist das technisch schon lösbar. Es gibt genügend kryptographsiche Verfahren, wie Secret Sharing und PKCs, mit denen man sowas aufbauen könnte. Davon abgesehen ist die Einrichtung eines neuen Accounts zwangsläufig eine kritische Operation da dieser neue Benutzer immer vertrauenswürdig sein muß, aber das ist normal.
...
Forum: Programmieren allgemein
by negaH,
12. Jan 2007
Bei dieser Methode gelten 2 Regeln:
1.) Server muß vertrauenswürdig sein, sprich einbruchsicher
2.) das Passwort muß auf Client Seite mit einem Kryptographischen Verfahren umgewandelt werden -> Challeng-Response Protokolle benutzen.
Das Passwort lesbar im Netz zu übertragen öffnet wiederrum eine Angriffsfläche, quasi ein Scheunentor für den Angreifer.
Gruß Hagen
Forum: Programmieren allgemein
by negaH,
11. Jan 2007
Somit hast du nun 2 Angriffsflächen für den Hacker statt nur eine ;)
1.) Angreifer ändert Client.exe und muß nur den ausgelagerten Hashcode angreifen, dh. er speichert dort seinen eigenen Hashwert -> Angriff auf externen Hashcode
2.) Angreifer ändert Client.exe und entfernt Hashüberprüfung, Angriff auf Client.exe
Die Methode mit Passwort und verschl. Daten zwingt den Angreifer das Passwort...
Forum: Programmieren allgemein
by negaH,
9. Jan 2007
Läuft die Datenbank auf einem geschützten Server so bekommt man das sicher.
Benutzt man externe einbruchsichere Hardware so kann man es sicher bekommen.
Verschlüsselt man die Datensätze in der Datenbank mit dem oder einem Passwort so ist das auch sicher.
Alles andere wird immer eine unsichere Lösung sein, solange wir voraussetzen müssen das der Rechner auf dem deine Software läuft nicht...