FTP Client Daten sicher?
 

Hallo,

ich habe hier vor einiger Zeit einen Thread gesehen wo es darum ging, das man diesen Code:

nach dem comilieren noch entschlüsseln kann, also das '123' das "Passwort" ist. Jetzt habe ich vor einen FTP Client zu schreiben, mit dem man auf meinem eigenen Server, Datein hochladen kann. Natürlich muss man sich mit seinem Benutzername und Passwort anmelden, jetzt habe ich die befürchtung, das man meinen Benutzernamen und Passwort vom Server auch entschlüsseln kann, was natürlich sehr schlecht wäre. Kann mir vielleicht jemand helfen, wie man es sicher machen kann oder sagen ob man es enschlüsseln kann? Ich nutze den Indy FTP Client 10 mit Borland Delphi 7 Enterprise.

Danke

Re: FTP Client Daten sicher?
 

Die Geschichte mit dem Auslesen des Passwortes aus der Exe ist ja bekannt. Dein Problem, was noch hinzu kommt, ist die FTP-Funktion. Wenn ich das PW nicht aus der Exe auslesen kann, dann sniffe ich eben die Netzwerkpakete mit.

Wäre denn eine PHP + Delphilösung akzeptabel?

Re: FTP Client Daten sicher?
 

Eine Möglichkeit die Kommunikation sicherer zu machen wäre S-FTP zu verwenden. Aber nicht alle FTP-Komponenten können auch die sicherere Variante von FTP.

Re: FTP Client Daten sicher?
 

Man könnte auch auf SFTP o.ä. setzen.

Re: FTP Client Daten sicher?
 

Du schreibst nicht, um welche Art Anwendung / Dateien es geht, aber
wenn du z.B. Usern deiner Software ein Gastverzeichnis einrichtest und sie
z.B. per E-Mail die Zugangsdaten ihres Gastverzeichnisses bekämen,
wäre doch eine erste Ordnung sichergestellt.


Was von Nachteil wäre, ist der höhere Verwaltungsaufwand wegen
der Gastverzeichnisse.


Gruß
Pfoto

Re: FTP Client Daten sicher?
 

Danke erstmal für die Antworten.

@ Pfoto
Ich habe auch schon daran gedacht, aber es wäre wie du schon sagst zusätzliche Arbeit für mich, wenn es aber keine andere Möglichkeit gibt, werd ich es woll so machen. Ich werde mir aber erstmal das S-FTP ansehen.

@ Daniel G.
Das müsstest du mir genauer erklären, ich habe ein paar Grundkenntnisse in PHP, weiß nur nicht wie ich sie in diesem Fall einsetzen soll.


Habe vielleicht noch eine Kleingkeit vergessen zu erwähnen: Es soll eine Art Arbeitsgruppe werden, also das man mehrere Ordner zur Auswahl hat und man sich nur bei dem Ordner "anmelden" kann, für den man auch das Passwort hat.Die Passwörter habe ich in einer verschlüsselten Textdatei auf dem Server liegen. Der Client holt sich dann die Daten aus der Textdatei und schaut dann zu welchem Ordner das Passwort passt. Ein Beispiel: man gibt als Passwort 123 ein, der Client öffnet dann den Ordner 1234 oder sagt, das es kein Verzeichniss gibt, das man mit dem Passwort 123 öffnen kann. Das funktioniert schon, wie gesagt ist jetzt meine einzige Befürchtung noch, das man meine Zugangsdaten für den Server bekommen kann. Ich werde mir jetzt erstmal das S-FTP anschauen und mich dann nochmal hier melden.

mfg

Re: FTP Client Daten sicher?
 

So, ich habe jetzt erstmal den Artikel bei Wikipedia durchgelesen und dann gegoogelt. Nur ich weiß nicht wie ich das SFTP anwende, brauch ich dafür eine Komponente die nicht beim googeln gefunden habe oder sind es irgendwelche veränderungen in der Indy Client Komponente vornehmen?

mfg

Re: FTP Client Daten sicher?
 

Worum geht es?

a.) Die Zugangsdaten in der Exe nicht in Klartext zu haben oder
b.) die Zugangsdaten auch nicht im Klartext über die Leitung zu schicken?

Das Eingangsposting spricht nur von a.). ==> Bearbeite die Zugangsdaten im Programm einfach verschlüsselt.

DP-Maintenance
 

Dieses Thema wurde von "SirThornberry" von "Programmieren allgemein" nach "VCL / WinForms / Controls" verschoben.

Re: FTP Client Daten sicher?
 

Sobald dein Programm die Zugangsdaten kennt, hat die Zugangsdaten auch derjenige dem du das Programm gibst. Das ist als würdest du jemandem einen Umschlag geben und sagen er darf den Schlüssel darin nicht selbst benutzen sondern er muss den Umschlag dem Pförtner geben damit dieser ihn reinlässt. Niemand hindert denjenigen daran den Umschlag einfach aufzureißen.
Man sollte Passwörter etc. also nur dann an leute weiter geben (direkt oder indirekt) wenn sichergestellt ist das mit diesen Passwörtern nicht mehr möglich ist als erlaubt.

Re: FTP Client Daten sicher?
 

Stimmt natürlich, aber wenn ich die Zugangsdaten in dem Programm habe und das Programme nur die Funktion hat einen Ordner zu öffnen, kann man damit ja nicht das gleiche machen, wie wenn man einem das Passwort und den Benutzernamen gibt, oder sehe das falsch?

@ Ingo D7
a.) Die Zugangsdaten in der Exe nicht in Klartext zu haben, weil die Zugangsdaten müssen wohl oder übel "sichbar" durch die Leitung geschickt werden, oder?

mfg

Re: FTP Client Daten sicher?
 

Das eine hat doch mit dem anderen nichts zu tun.
Wenn du in deiner Exe irgendwo das Paßwort "HmfnC6" stehen hast und jedes Zeichen vor dem Verschicken um 1 erhöhst, dann geht als dein Paßwort "IngoD7" über die Leitung, obwohl es nirgendwo in der Exe steht. Nur so als Beispiel.
Das meinte ich mitJedenfalls muss nichts, was über die Leitung geht, zwangsläufig auch genau so in der Exe stehen.

Re: FTP Client Daten sicher?
 

Dein Programm kann zwar nur einen Ordner öffnen aber das ist genau wie mein Beispiel. Der jenige kann auch nur den Umschlag dem Pförtner geben - zumindest so lange er sich an die Absprachen und Regeln hält. Und weil man bei Passwörtern darauf nicht vertrauen kann gehören diese niemals an dritte weiter gereicht (direkt oder indirekt). Wenn du die Konfiguration des FTP-Servers jedoch so machst das mit dem Passwort gar nicht mehr möglich ist, ist es ok. Aber rechne immer damit das jemand dein Passwort heraus findet in der Exe.
Zwar hast du das Passwort nicht im Klartext in der Exe, aber wer sich die Mühe macht nach einem Passwort in der Exe zu suchen stört sich nicht daran das es leicht verschlüsselt ist.

Re: FTP Client Daten sicher?
 

Naja nun, das Verschlüsseln der Zugangsdaten hatte ich ja überhaupt erst ins Spiel gebracht. Dass ich dabei in meinem vorherigen Posting als Erklärung ein "Dummy-Einfach-Verfahren" beschrieben habe, war ja nur, um ihm überhaupt erstmal klarzumachen, was ich mit "verschlüsselt in Exe" oder auch mit "nicht Klartext in Exe" meinte. Man kann ja durchaus eine vernünftige Verschlüsselung implementieren, die nicht jeder Dahergelaufene mit einem Hexeditor aushebeln kann.

Letztlich wollte ich überhaupt erstmal geklärt haben, worum es ihm eigentlich geht. Denn auf sein allererstes Posting hier im Thread gibt es nämlich eigentlich nur die Antwort: Halte die Zugangsdaten verschlüsselt in der Exe.

Alle anderen Aussagen hier gehen an seinem geschilderten Problem vorbei oder drüber hinaus.
Ich persönlich habe sowieso nicht verstanden, um welche Zugangsdaten es genau geht. Es ist im Verlauf dieses Threads von Ordnern, Server und was weiß ich nicht alles die Rede.

Ich sehe lediglich, dass sein Programm irgendwas bzw. irgendjemand authentifizieren muss (siehe Codeschnipsel im Eingangsposting). Das kann es nun mal nur, wenn es das Kennwort irgendwie vorhalten und verifizieren kann. Halbwegs sicheres Vorhalten bedeutet anständig verschlüsseln. Punkt. :angel2: :wink: