Passwort im Objektinspektor?
 

Hallo,
ist ein im Objektinspektor eingetragenes Passwort genauso unsicher wie eines,
das im Klartext im Quelltext steht. Gibts da überhaupt einen Unterschied?
Viele Grüße....

Re: Passwort im Objektinspektor?
 

hi,

da gibt es keinen unterschied. beides absolut unsicher.

aenogym

Re: Passwort im Objektinspektor?
 

Stimmt beides unsicher. Ich würde aber Quelltext vorziehen denn OI bedeutet das Paßwort wird im DFM gespeichert und dort ist es leichter zu entdecken. Man denke an Programme wie ResHack, mit denen man sich Resourcen (sprich DFM's) wunderbar leicht ansehen kann.

Re: Passwort im Objektinspektor?
 

Auch in den Quelltext solltest du es keinesfalls schreiben. Benutze einfach eine der hundert Crypto-Libs, über die Forensuche solltest du fündig werden. ;)

Re: Passwort im Objektinspektor?
 

äh ja und dann? findet man eben das apsswort zum entschlüsseln das wiede rahrdgecodet sein muss :tongue:

einzig sinnvolle Lösung: das Passwort nicht in der Exe abspeichern sondern zur Laufzeit eingeben ;)

Re: Passwort im Objektinspektor?
 

Hm? Man könnte zum Beispiel einfach einen MD5-Hash des Passwortes in das Programm eincompilieren, wenn der User dann zur Laufzeit das Passwort eingibt wird von diesem ebenfalls ein Hash gebildet und einfach die beiden Hashs verglichen.

Re: Passwort im Objektinspektor?
 

Ach so meintest du das... ich würde sagen das kommt darauf an wofür man das Passwort braucht. Bei dem viel benutzten Indy FTP Client beispielsweise nützt dir ein Hash herzlich wenig ;)

Re: Passwort im Objektinspektor?
 

Wieso?

Der Anwender gibt doch das Passwort zur Laufzeit im Klartext ein. Der im Code hinterlegte Hash wird doch nur benötigt, um das Passwort zu verifizieren. Ein Server zum Beispiel würde dann das echte Passwort erhalten können.

Re: Passwort im Objektinspektor?
 

Und ich könnte mit einem Paket - Sniffer mitlesen... :duck:

Re: Passwort im Objektinspektor?
 

Darum geht es aber in diesem Thread gar nicht. Außerdem ist es mit dem Hash wohl 157mal sicherer als das Passwort im Klartext einzucompilieren.

Re: Passwort im Objektinspektor?
 

Nope, aber das war das, was Meflin mit
meinte...

Re: Passwort im Objektinspektor?
 

Hi, um nochmal zu sagen, wozu ich es eigentlich brauche: der User soll mit meinem Programm ein Errorlog (IndySmtp) senden. Dies geschieht über ein Mailkonto von mir. Damit das Konto nicht als Spam missbraucht werden kann wollte ich es irgendwo sicher im Programm verstecken.
Viele Grüße

Re: Passwort im Objektinspektor?
 

und das ist sicher nicht sicher möglich ;)

Re: Passwort im Objektinspektor?
 

Sicher ist gar nichts, aber mit einem Hash bist du schonmal auf der halbwegs sicheren Seite.

Re: Passwort im Objektinspektor?
 

Mit dem Hash kann sich die Software aber nicht am SMTP-Server anmelden. Dazu muss das Programm schon irgendwie das komplette Passwort haben. Und dies - wie auch immer - in der .exe zu hinterlegen ist unsicher.

Re: Passwort im Objektinspektor?
 

Hallo Stefan,

wenn ich es richtig verstanden habe, soll der Benutzer das Password nicht eingeben und im Programm soll es klarerweise auch nicht sein. Dafür gibt es gute Lösungen:

V1
Das Programm überträgt mit http POST die Daten an ein php script auf einen Webserver.
Das Script macht eine strenge Überprüfung und sendet die Daten weiter. Im php script ist das Password gespeichert, aber das ist kein grosses Problem. Alle Foren auf php Basis arbeiten so. Als mail Konto verwendest du natürlich nicht dein persönliches, sondern ein eigens diesem Zweck gewidmetes.

V2
Das Programm überträgt mit http POST die Daten an ein php script auf einen Webserver.
Das Script macht eine strenge Überprüfung und speichert sie. Die Daten holst du dann vom Script auf deinen home pc.

grüsse,
der flossinger

Re: Passwort im Objektinspektor?
 

Ein Hash kann nur benutzt werden, wenn es lediglich um die Überprüfung geht, ob ein Passwort korrekt ist. Um das eigentliche Passwort jedoch aus dem verschlüsselten Text wieder herzustellen, benötigt es einen Algorythmus der in beide Richtungen arbeitet. Solche Algorythmen gibts zu genüge (man such mal nach Haagen's DEC), aber sie haben alle eins gemein. Zum Ver- und Entschlüsseln brauchts mindestens einen Schlüssel. Und den musst du dann wieder verstecken... Du drehst dich also im Kreis :wall:

Flossinger's Idee ist aber schon der richtige Weg, in deinem Fall. PHP Skript auf den Webserver der dann aus dem POST Text die Mail erstellt und verschickt. Auf dem Server kannst Du dann noch Prüfungen machen, ob das Versenden der Mail erlaubt ist oder nicht.