Re: Wer kann mir das Passwort sagen?
 

Nein, folgendes:

Ich möchte zu einer DB verbinden. Nur möchte ich das Passwort nicht lokal speichern, weil dann einer das PW nehmen könnte, sich mit dem PW in die DB einloggen kann und somit auch alle Daten löschen kann. Also wollte ich das PW aus einer Datei im Netz laden, aus einem langen String an verschiedenen Stellen zusammensetzen und dann in die Komponente Zeos.Password schreiben. So hätte ich das PW nicht auf der Festplatte und sogar noch als langen "seltsamen" String. Nur mein Prgramm nimmt die richtigen Stellen und bastelt sich das PW wieder zusammen. So kann kein 3. sich ein Prog schreiben und die DB vernichten - denke ich...

Re: Wer kann mir das Passwort sagen?
 

Hmm wuerde auf die schnelle sagen pw ist z5qj4l bin mir aber nicht 100%ig sicher, weil es nicht verglichen wird.

--win32

Re: Wer kann mir das Passwort sagen?
 

du hast mich vieleicht nicht verstanden.
dein programm kann gerne das pw aus dem internet abrufen.
ich muss das pw nicht kennen.
ich kann das encodiert pw nehmen und in dein programm füttern.
dann akzeptiert es das, weil es es für mich entschlüsselt.
dann damit an der datenbank anmeldet.

doch indem ich die datenbank verbindung abhöre.
nein, verschlüsseln bringt nichts.

man in the middle ist da das stichwort.

wenn ich zugriff auf den db-server habe setze ich lieber das admin pw neu.
geht schnell und einfach (egal welche db).

Re: Wer kann mir das Passwort sagen?
 

Hi,

darf man fragen welche Datenbank du verwendest?

Lemmy

Re: Wer kann mir das Passwort sagen?
 

Das Passwort z5qj4l ist korrekt. Wie hast du das rausgefunden? Ihr wisst ja, was ich vorhabe, wie kann ich das System verbessern? Ich werde MySQl5 verwenden. Noch habe ich aber keine installiert.

Re: Wer kann mir das Passwort sagen?
 

verbessern geht in dem Sinne gar nicht. Passwörter sollten einfach generell nicht auf die Nutzerseite gelangen. Besser wäre einfach einen Account einzurichten welcher nur beschränkte Rechte besitzt.
Und wie bereits beschrieben wurde lässt sich das Passwort noch einfacher rausfinden wenn man einfach das Verbinden zur Datenbank abhört bzw. die Datenbank abschaltet und sein eigenes Programm auf den Port setzt und das Login somit von deinem Programm bekommt.

Re: Wer kann mir das Passwort sagen?
 

Gut, aber ich MUSS mich zu einer entfernten DB verbinden, MUSS dem Benutzer erlauben, dass er Datensätze löschen darf und damit der User zugreifen kann, MUSS er ja auch das DB haben... Was mach ich da jetzt?

Re: Wer kann mir das Passwort sagen?
 

Du kannst eine derartige Verbindung nicht sicher machen, da ich mit nem sniffer immer an dein pass komme sobald du es an den mysql server sendest!

geh den umweg über php, dann kannst du genau bestimmen was man machen kann...ansonsten mysql server vernünftig konfigurieren!

Re: Wer kann mir das Passwort sagen?
 

Ein PHP (o.ä.) Script schreiben dass die Datenbank bedient und dieses über dein Programm ansteuern, dann hast du mehr Kontrollmöglichkeiten... Das Passwort musst du auch nicht rausgeben!

Re: Wer kann mir das Passwort sagen?
 

Habs mir ollydbg gemacht.

Search for -> All referenced text strings
Nach der url deiner homepage suchen -> 00467645
Breakpoint auf 0046768C(die funktion haengt die beiden strings aneinander) und nach dem call auf den stack achten.

0012F638 00A95F58 ASCII "z5q"
0012F63C 00A95F48 ASCII "j4l"
0012F640 00A95F68 ASCII "z5qj4l" << pw