AW: Wer kann mal eben meinen Installer testen...
 

Hi Frank,

du hast noch diverse Rechtschreib- und Grammatikfehler in deinem Setup. Einmal schreibst du Wizard richtig, bei nächsten Mal falsch.

Und die Mehrzahl vom "information" im englischen ist immer noch "information". :wink:


Anhang 46600


PS: In deinem Setup steht, dass Sir Rufo da mitgewirkt hat. Was ist eigentlich mit dem? Der meldet sich hier gar nicht mehr zu Wort?!

AW: Wer kann mal eben meinen Installer testen...
 

Melde auch bei mir erwartungskonformes Verhalten ;)

Zacherl, Du Code-Gott, wie hast Du das herausgefunden?

Sherlock

AW: Wer kann mal eben meinen Installer testen...
 

Unfassbar dass es noch Entwickler gibt, die irgendwas rausgeben ohne sowas wie madExcept oder EurekaLog zu nutzen :wall:

AW: Wer kann mal eben meinen Installer testen...
 

:-D Habe ein wenig Erfahrung im Reverse-Engineering Bereich und den generierten Assembly Code letztlich als entsprechenden String-Zugriff erkannt, nachdem ich mich erinnern konnte sowas in der Art schonmal gesehen zu haben.
EAX ist die Basis-Adresse des Strings, EBX ist die Index-Variable und das *2 ist dem 2-Byte Unicode-Zeichensatz geschuldet. 5C ist die hexadezimale Darstellung des '\' Zeichens in der ASCII Table. Für die Adresse und das dazugehörige Disassembly habe ich auf die Schnelle OllyDbg benutzt.

AW: Wer kann mal eben meinen Installer testen...
 

Danke - hab ich korrigiert...

Ich hatte meinen Early-Bird-Kunden versprochen eine Version noch im Januar zu versenden... Die Rechtschreibungsprüfung stand/steht noch auf meiner ToDo-Liste...

Kommt davon, wenn man um 4 Uhr morgens noch Texte tippt...

Mavarik

AW: Wer kann mal eben meinen Installer testen...
 

Noch tiefer kannst Du nicht stapeln?
Da muß man auch erst einmal darauf kommen. Viele kennen die Bäume, aber wer den Wald?
:thumb:

Gruß
K-H

AW: Wer kann mal eben meinen Installer testen...
 

Nochmal Danke an alle die mir beim testen geholfen haben...

Mavarik

DP Rules :thumb:

AW: Wer kann mal eben meinen Installer testen...
 

Ich habe ehrlich gesagt noch nicht einmal verstanden weshalb es nur so kryptische "Runtime Error XY"-Meldungen gab statt einer "normalen" Billig-Exception wie "Array Index out of bounds" oder wie das auch immer heißt... :|

AW: Wer kann mal eben meinen Installer testen...
 

Mich auch... Daher hatte ich "so" eine Fehlermeldung auch nicht auf dem Schirm...

Aber was sollst - gefunden und behoben - kommt davon, wenn man das RAD neu erfinden will und nicht einfach ein Inno-Setup nimmt...

Mavarik

AW: Wer kann mal eben meinen Installer testen...
 

Ich vermute, weil er wie wohl die meisten von uns den Bereichscheck abgeschaltet hat. Und wenn man dann:wall: gelobt man Besserung bis ...

Aber wenn schon Kritik laut wird, mir sind die Farben zu sehr nach "Feueralarm". Beim Test hatte ich noch zwei andere Anwendungen offen, und als ich dann ein Stückchen Installation aus den Augenwinkeln bemerkt habe, bin ich beinahe vom Stuhl gefallen, "Was ist denn jetzt schon wieder passiert?".

Gruß
K-H

AW: Wer kann mal eben meinen Installer testen...
 

Was das Rad neu erfinden angeht: ExtractFilePath hätte es wahrscheinlich auch getan ;)

AW: Wer kann mal eben meinen Installer testen...
 

Ist ja kein Path sondern ein Key... Gut - klar ist es ein Path...8-)

Würde mich ggf. an dieser Stelle verwirren... Aber Du hast Recht...

Mavarik

AW: Wer kann mal eben meinen Installer testen...
 

Firemonkey und Feueralarm passt doch... Schön, das es den gewünschten Effekt hat... :stupid:

Mavarik

AW: Wer kann mal eben meinen Installer testen...
 

@Mavarik
Nach 20 Minuten herumspielen bin ich in der Lage, einen bestehenden Account zu kapern und in dessen Namen Bestellungen aufzugeben. Das habe ich natürlich nicht getan. Allerdings solltest du deine IT-Infrastruktur noch mal auf Sicherheit überprüfen. Generell habe ich Zugriff auf alle Kundendaten.

Außerdem enthält das Datum auf der generierten Rechnung ein komisches Datum (07.54.2017).

AW: Wer kann mal eben meinen Installer testen...
 

hoffe doch sehr, dass du ihn direkt angeschrieben hast! Oder?

AW: Wer kann mal eben meinen Installer testen...
 

Mavarik

Ein öffentliches REST Interface ohne besondere Sessionkey basierte Verschlüsselung zur Replaysicherheit lädt ja förmlich dazu ein, sich mal genauer das Programm und den Netzwerkdatenverkehr anzuschaun.

Und es gibt viele Zacherl "mit etwas Erfahrung" im Reverse-Engineering Bereich:)

Ich sage hier jetzt nur mal noch die Stichworte "Stringkonstanten" und "SharedSource", wo scheinbar für die EndUser Anwendung teils die gleichen Units wie für das eigene AdminTool verwendet und so bei Delphi voll mit eingelinkt werden... so kommt man ohne viel Aufwand nur mit dem File der ClientAnwendung und etwas Phantasie an die "Commmand&Control" Logik der Administration.

Das ist meinerseits nur ein Hinweis und keine Kritik... Wenn du für dein Projekt mit deiner Risikoanalyse für dich entscheidest, das deine Lösung ausreichend ist und du mit dem Restrisiko bezüglich deiner Kunden kulant umgehst, dann ist das eben so! Banken machen das im Bereich OnlinePayment auch nicht anders... die paar KommaProzent an Verlust aus FakeBuchungen bei z.B. Kreditkarten tollerieren die einfach weil es ihnen der nötige Zusatzaufwand für die technisch mögliche "aktuelle Standardsicherheit" nicht Wert ist.


Ist man böse wenn man an sowas auch nur denkt? NEIN!
Es gehört bei uns im Softwaretest für den Bankenbereich zum StandardAudit und läuft dabei im FullTrace-Step1 völlig ohne manuellen Zusatzaufwand.
Ich habe gerade einfach kurz mal aus Langerweile&Neugier unsere VM in VM Test-Umgebung verwendet, da hängt in der StandardAnalyse-ContainerVM eine eigene WireShark-API-Anwendung dazwischen, welche auch wenn nötig für SSL&TLS Analyse per VMware-API (RAM)SnapShots der ProbeVM Event getriggert macht.
(da du keine VM und/oder Debug Sperren in deiner Software implementiert hast, stört dich das scheinbar ja auch nicht;))


Ich schicke z.B. unsere eigenen "Trading" Sachen freiwillig an einen im INet bekannten "Spezialisten" der auf seiner Warez WebSite im Prinzip 80% der weltweit in diesem Bereich verfügbaren Software "frei" anbietet. Ich habe da auch schon ein paar tausend USD via BitCoin dafür bezahlt, das er mir seine "Hacks" unserer Software wenigstens (vorab) mitteilt und beweist. Er sieht es als "Sport", wir auch!... aktuell sind wir serverseitig mit eigener Logik und clientseitig mit den Sachen von https://www.oreans.com/products.php "relativ" sicher... war&ist aber auch viel Aufwand und kostete uns auch etwas Geld.

AW: Wer kann mal eben meinen Installer testen...
 

Ok Mit dem Datum schau ich mir an...

Du konntest von einem anderen Kunden die Daten einsehen... OK Das währe schlecht.. Sicher, das Du das nicht mit dem Editor - für den Kunden - der seine Daten ändern kann verwechselt hast?


Logisch, aber "eigentlich" sollte der Installer keine Units verwenden, die für mein Admin Tool verwendet werden.

Trotzdem Danke für den Hinweis. Da muss ich nochmal die IFDEF's durchschauen.

Danke für Euer Feedback.