AW: Wer kann mal eben meinen Installer testen...
 

Was das Rad neu erfinden angeht: ExtractFilePath hätte es wahrscheinlich auch getan ;)

AW: Wer kann mal eben meinen Installer testen...
 

Ist ja kein Path sondern ein Key... Gut - klar ist es ein Path...8-)

Würde mich ggf. an dieser Stelle verwirren... Aber Du hast Recht...

Mavarik

AW: Wer kann mal eben meinen Installer testen...
 

Firemonkey und Feueralarm passt doch... Schön, das es den gewünschten Effekt hat... :stupid:

Mavarik

AW: Wer kann mal eben meinen Installer testen...
 

@Mavarik
Nach 20 Minuten herumspielen bin ich in der Lage, einen bestehenden Account zu kapern und in dessen Namen Bestellungen aufzugeben. Das habe ich natürlich nicht getan. Allerdings solltest du deine IT-Infrastruktur noch mal auf Sicherheit überprüfen. Generell habe ich Zugriff auf alle Kundendaten.

Außerdem enthält das Datum auf der generierten Rechnung ein komisches Datum (07.54.2017).

AW: Wer kann mal eben meinen Installer testen...
 

hoffe doch sehr, dass du ihn direkt angeschrieben hast! Oder?

AW: Wer kann mal eben meinen Installer testen...
 

Mavarik

Ein öffentliches REST Interface ohne besondere Sessionkey basierte Verschlüsselung zur Replaysicherheit lädt ja förmlich dazu ein, sich mal genauer das Programm und den Netzwerkdatenverkehr anzuschaun.

Und es gibt viele Zacherl "mit etwas Erfahrung" im Reverse-Engineering Bereich:)

Ich sage hier jetzt nur mal noch die Stichworte "Stringkonstanten" und "SharedSource", wo scheinbar für die EndUser Anwendung teils die gleichen Units wie für das eigene AdminTool verwendet und so bei Delphi voll mit eingelinkt werden... so kommt man ohne viel Aufwand nur mit dem File der ClientAnwendung und etwas Phantasie an die "Commmand&Control" Logik der Administration.

Das ist meinerseits nur ein Hinweis und keine Kritik... Wenn du für dein Projekt mit deiner Risikoanalyse für dich entscheidest, das deine Lösung ausreichend ist und du mit dem Restrisiko bezüglich deiner Kunden kulant umgehst, dann ist das eben so! Banken machen das im Bereich OnlinePayment auch nicht anders... die paar KommaProzent an Verlust aus FakeBuchungen bei z.B. Kreditkarten tollerieren die einfach weil es ihnen der nötige Zusatzaufwand für die technisch mögliche "aktuelle Standardsicherheit" nicht Wert ist.


Ist man böse wenn man an sowas auch nur denkt? NEIN!
Es gehört bei uns im Softwaretest für den Bankenbereich zum StandardAudit und läuft dabei im FullTrace-Step1 völlig ohne manuellen Zusatzaufwand.
Ich habe gerade einfach kurz mal aus Langerweile&Neugier unsere VM in VM Test-Umgebung verwendet, da hängt in der StandardAnalyse-ContainerVM eine eigene WireShark-API-Anwendung dazwischen, welche auch wenn nötig für SSL&TLS Analyse per VMware-API (RAM)SnapShots der ProbeVM Event getriggert macht.
(da du keine VM und/oder Debug Sperren in deiner Software implementiert hast, stört dich das scheinbar ja auch nicht;))


Ich schicke z.B. unsere eigenen "Trading" Sachen freiwillig an einen im INet bekannten "Spezialisten" der auf seiner Warez WebSite im Prinzip 80% der weltweit in diesem Bereich verfügbaren Software "frei" anbietet. Ich habe da auch schon ein paar tausend USD via BitCoin dafür bezahlt, das er mir seine "Hacks" unserer Software wenigstens (vorab) mitteilt und beweist. Er sieht es als "Sport", wir auch!... aktuell sind wir serverseitig mit eigener Logik und clientseitig mit den Sachen von https://www.oreans.com/products.php "relativ" sicher... war&ist aber auch viel Aufwand und kostete uns auch etwas Geld.

AW: Wer kann mal eben meinen Installer testen...
 

Ok Mit dem Datum schau ich mir an...

Du konntest von einem anderen Kunden die Daten einsehen... OK Das währe schlecht.. Sicher, das Du das nicht mit dem Editor - für den Kunden - der seine Daten ändern kann verwechselt hast?


Logisch, aber "eigentlich" sollte der Installer keine Units verwenden, die für mein Admin Tool verwendet werden.

Trotzdem Danke für den Hinweis. Da muss ich nochmal die IFDEF's durchschauen.

Danke für Euer Feedback.