Delphi-PRAXiS - Moralfrage

Seite 2 von 3

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)

- - Moralfrage (https://www.delphipraxis.net/83304-moralfrage.html)

Frage: Was für Skripte sind das?

Zitat:

Zitat von Olli

...Noch jemand anderes der seine Meinung kundtun möchte ohne zu hinterfragen...

Jo, ich natürlich. :mrgreen: Wie heißt es so schön : "ein gebranntes Kind scheut das Feuer". Du hast Dir die Finger aber offensichtlich immer noch nicht genug verbrannt. :stupid: Finger weg von solch dubiosen Sachen und unbekannten Leuten. Wenn schon, dann alles nur per Post verschicken, um die Authenzität des Auftraggebers überprüfen zu können. Und bei 36 h Aufwand in Griechenland nur gegen Vorschuss anfangen. :angel2:

Zitat:

Zitat von DGL-luke

Frage: Was für Skripte sind das?

GIS. Avenue ist die Skriptsprache von ArcView.

Das heißt, die Skripte werden mit einer statischen Verschlüsselung obfuscated? Und der gute Herr Grieche wollte dich unbedingt in der Quellenangabe seiner Doktorarbeit haben?
Na ganz klar: Wenn der dich so anmacht, würd ich ihm nichts geben. Schon gar nicht "exklusiv".

Was es rechtlich für probleme geben könnte, weiß ich nicht - aber z.B. Ghostscript arbeitet auch ganz unbeschadet mit einem proprietären Format (PDF).

Also, wenn du drauf Bock hast (mit allen Konsequenzen, die du ja offensichtlich zur Genüge kennst), veröffentliche das ganze Open-Source. Oder eben nicht.

EDIT: Offensichtlich falsches gestrichen.

Hier noch ein Zitat im Nachgang zu meinem Beitrag #7, damit die Wirtschaftlichkeitsfrage besser abgeschätzt werden kann:

Mark Ontkush hat geschrieben

5.2 The AVENUE encryption scheme
5.2.1 Problem
AVENUE is the programming language of ArcView, a popular mapping software produced by ESRI of Redlands,CA. ArcView stores AVENUE 'scripts' (user-authored programs) as part of a simple text files (known as a 'project') with the extension 'apr'. These files are not proprietary and can be viewed with any text editor. The user has the option of encrypting these scripts with an algorithm by which, according to ESRI, "is an irreversible action which lets you build a project with customizations that are hidden from other users... ...Once encrypted, scripts cannot be restored to text for further development or debugging." But in reality, AVENUE uses a code that is literally thousands of years old to encrypt scripts (the Vigenere cipher), and its weaknesses are well known.

To encode using this cipher, a keyword must be chosen, such as "ARCVIEW". This is written above the plaintext repeatedly :

Code:

			            ARCVIEWARCVIEWARCVIEWARCVIEWA

Plaintext:  MEETATMIDNIGHTBYTHEOLDOAKTREE

To encode the plaintext, one simply adds the position of the cipher letter in the alphabet to the position of the plaintext letter, using wraparound if necessary. So in the above example, the first coded letter would be 'A' (1st in alphabet) + 'M' (14th in alphabet) = 'N'(15th in alphabet) To decrypt the Vigenere cipher, you run this process in reverse. The keyphrase for Arcview is not a word but a 8-bit block of numeric shift values {-5,8,1,-2,7,4,-5,8}. These values are repeatedly cycled through the ASCII values of the encrypted script text to reproduce the sourcecode. A flaw of this algorithm is that long strings of identical characters repeat themselves in the encrypted text; notice for example the string of asterisks in this segment of an unencrypted and encrypted script. It was this exact pattern led to the decryption of the algorithm.
There are some caveats. All line feeds (ASCII Character 10) and Carriage Returns (ASCII Character 13) are ignored. Clearly this is an effort on behalf of the programmers to make the .apr files portable between different platforms (IBM, MAC, UNIX), as they all use different end-of-line signatures. The first and last double-quotes are ignored, these being the ones that surround the encrypted text. The forward slash '\' indicates that the next character is to be taken literally, although the initial forward slash is ignored. This is used for such characters as the double-quote and forward slash itself that can stand for plaintext characters in the encrypted text.

Freundliche Grüße

*g*

Da würd ichs ja alleine deswegen veröffentlichen, um dem Hersteller eins auszuwischen (was wir hier wohl leider nur in kleinem Umfang vermögen). :)

Der Hersteller fühlte sich - abgesehen von der Blamage (er bewarb das Verfahren als nicht umkehrbar) - eigentlich kaum betroffen. Die Skript-Entwickler, die sich auf die Aussage des Herstellers verlassen hatten, fühlten sich anfangs in ihrer Existenz bedroht. Inzwischen ist diese Sicherheitslücke 10 Jahre bekannt und neue Entwicklungen verwenden dieses Verschlüsselungsverfahren wohl nicht mehr.

Freundliche Grüße

Wieso "eins auswischen"? Immerhin verdiene ich mein Geld auch mit Software. Also so gesehen wäre das keine Motivation für mich.

@marabu: Danke.

Zitat:

Zitat von DGL-luke

Was es rechtlich für probleme geben könnte, weiß ich nicht - aber z.B. Ghostscript arbeitet auch ganz unbeschadet mit einem proprietären Format (PDF).

PDF ist doch offen dokumentiert und standardisiert!?

Dann würd ich sagen, is wurscht was du machst, Olli ;-)

Mach, was dir gefällt.

//Roter Kasten:

Naja... Es gibt eben hersteller von guter Software und hersteller von schlechter Software. So eine Sicherheitslücke müsste man auf jeden Fall öffentlich machen. Aber nachdems ja eh schon klater Kaffee is...

//Noch einer

:oops:

Ich gehe in Sack und Asche...

Zitat:

Zitat von DGL-luke

Ich gehe in Sack und Asche...

Da haben wir dich aber fertsch gemacht, oder? ;)

Ich werde es wahrscheinlich im Laufe des kommenden Jahres veröffentlichen, zumindest aber in meinem Blog schreiben, daß wer will gern Skripte von mir entschlüsseln lassen kann (max. 1 pro Woche und Person oder so, damit ich mich nicht kaputtarbeite :mrgreen: :mrgreen: :mrgreen: )

Seite 2 von 3