Verhindern, dass ein String im Pagefile landet.
 

Ich habe einen String, welcher ein Passwort enthält. Ich möchte vermeiden, dass der String ausgelagert wird und im Page File landet. Hat jemand eine Idee dazu?

AW: Verhindern, dass ein String im Pagefile landet.
 

Evtl. mit VirtualLock "festhalten"?

AW: Verhindern, dass ein String im Pagefile landet.
 

Hallo,

ob Du Einfluss auf den Umgang von Windows mit der Pagefile nehmen kannst, weiss ich nicht.

Du könntest aber prüfen, ob das Passwort die ganze Zeit in dem String stehen muss oder ob das Passwort nur zum Überprüfen auf Korrektheit benötigt wird und Du danach den String wegwerfen/leeren kannst. Das würde zumindest die Chance vermindern, dass der String in die Pagefile geschrieben wird.


Gruß
Frank

AW: Verhindern, dass ein String im Pagefile landet.
 

VirtualLock sieht ganz gut aus. Muss ich das nachher wieder unlocken?

Das reicht schon?

AW: Verhindern, dass ein String im Pagefile landet.
 

Was ist der Unterschied? Jemand der die Pagefile(s) ausliest kann genauso gut auch den Anwendungsspeicher auslesen.
Ich weiß nicht ob das so viel Sinn macht.

AW: Verhindern, dass ein String im Pagefile landet.
 

Der Unterschied ist, dass das Pagefile auf permanentem Speicher liegt, und selbst dann noch ausgelesen kann, wenn die Festplatte garkeinen Strom mehr hat - und die Daten u.U. auch dann noch auf der Platte existieren können, wenn sie eigentlich auch im Pagefile nicht mehr drin sind (Slack Space etc.). Während der RAM sich innerhalb kürzester Zeit nach dem Ausschalten annihiliert.

AW: Verhindern, dass ein String im Pagefile landet.
 

Selbst benutzt habe ich es auch noch nicht, würde aber eher auf
tippen. Zum Unlock sagt das MSDN:

AW: Verhindern, dass ein String im Pagefile landet.
 

Meflin hats schon ganz gut erklährt.

Handelt sich um nen Ansi String unter Lazarus, da kann ich mir das Sizeof(Char) sparen.

Gibt es sowas wie VirtualLock auch für Linux und MacOS X?

AW: Verhindern, dass ein String im Pagefile landet.
 

Warum liegt der überhaupt ungeschützt im RAM?
Als Hash oder verschlüsselt könnte man ihn ja auch abspeichern.

Und wie kommt das Passwort in deine Variable?
Das, wo der String her kommt, hat ihn bestimmt auch schon im RAM und das kannst du vermutlich nicht daran hinter, daß er ausgelagert wird.

AW: Verhindern, dass ein String im Pagefile landet.
 

Da gibt es mlock().

AW: Verhindern, dass ein String im Pagefile landet.
 

Das haben viele Entwickler auch vor Delphi 2009 gesagt... und den Code dann doch mal mit einem aktuelleren Compiler kompilieren wollen. Wie viel Byte das sind mag sich auch mal ändern.

Und durch UTF-8 in FreePascal bin ich mir nicht einmal sicher, ob diese Größe in Byte überhaupt stimmt. Da gab es schon viele "lustige" Effekte...

AW: Verhindern, dass ein String im Pagefile landet.
 

Du hast ja recht es tut ja nicht weh das mit zu schreiben. :P

@Union: Jo, hatte ich auch gerade gefunden. :)

AW: Verhindern, dass ein String im Pagefile landet.
 

Ich frage mich gerade, ob hier nicht an der falschen Schraube bezüglich der Sicherheit gedreht wird.

AW: Verhindern, dass ein String im Pagefile landet.
 

In welcher Hinsicht?

AW: Verhindern, dass ein String im Pagefile landet.
 

Na, du betreibst ja einen riesen Aufwand um das Passwort. Und ich frage mich, ob dieser Aufwand gerechtfertigt ist. Passwort eingeben lassen, Hash Bilden, vergleichen, wegwerfen. Wobei es Kryptobibliotheken gibt, die Passworteingaben wieder sicher aus dem dem Speicher löschen können.

AW: Verhindern, dass ein String im Pagefile landet.
 

Ich will mir 100% sicher sein, dass da nix im Page File landet. Das sind zwei Zeilen Code. Den Aufwand halte ich für vertretbar.

Klar wird das Passwort im Speicher so schnell wie möglich geburnt, aber man weiß ja nie, was da einer mit seinem Rechner veranstaltet während er meine Software nuzt.

AW: Verhindern, dass ein String im Pagefile landet.
 

Siehe Teil 2 meines Posts?

PS: Beim Ruhezustand und diesem hybriden Standbymodus, wird dennoch alles auf die Festplatte geschrieben.

AW: Verhindern, dass ein String im Pagefile landet.
 

Ja, stimmt schon. Aber Konkurenz hat das auch, darum brauch ich das auch. Ob es jetzt viel bringt oder nicht.

PS: Das ist dann aber nicht mehr mein Bier. :)

AW: Verhindern, dass ein String im Pagefile landet.
 

Stimmt, allerdings ist das Hibernation-File ab Vista standardmäßig auf 75% der (nutzbaren) RAM-Größe komprimiert. D.h. man müsste erstmal den Inhalt dekomprimieren (und dafür etwas über die Kompressionsmethoden wissen) und kann erst danach etwas damit anfangen. So denke ich mir das jedenfalls.

MfG Dalai

AW: Verhindern, dass ein String im Pagefile landet.
 

Gar nicht im Speicher geht gar nicht, es sei denn du benutzt ein eigenes Control für die Eingabe. Denn ein Standardeingabefeld wie TEdit hat das eingegebene Passwort ja trotz der maskierten Zeichen im Hintergrund zusammenhängend im Speicher.

Wenn es darum geht, leg das Passwort doch gar nicht erst als Ganzes ab, sondern verarbeite es nach der Eingabe des Benutzers zeichenweise wobei die Zeichen nie hintereinander im Speicher liegen. So hat er nur den gespeicherten Hash, aus dem er aber nie das Passwort im Klartext herausbekommt und auch das eingegebene Passwort nicht zusammenhängend. ;-)