IDFTP Sicherheitsproblem?
 

Hallo zusammen,

ich mache mal ein neues Thema auf:

Hier liest man immer wieder, man soll die IDFTP-Komponente wegen dem Passwort im Code nicht verwenden.
IDHTTP macht mir aber neuerdings Probleme (zu wenig Arbeitsspeicher bei der Android-App-Variante, nicht bei Windows).

Wenn ich das Passwort für den FTP im Programm verschlüsselt ablege und erst zur Laufzeit entschlüssele, kann dann noch jemand bei einer ftps.xxxxx.de - Verbindung "mithören"?

Oder gibt es eine Möglichkeit, auf dem FTP einen Benutzer anzulegen, der nur lesen darf?

Was meint Ihr dazu?

Ciao
Stefan

AW: IDFTP Sicherheitsproblem?
 

IMHO sollte eine FTPS-Verbindung immer verschlüsselt sein (SSL/TLS), also sollte auch niemand das Passwort aus der Verbindung abschnorcheln können.

Ja klar, man kann auf dem FTP-Server einen Benutzer anlegen, der nur lesen darf.
Aber auch der müsste sich mit einem User-Name und Passwort erst authentifizieren. Ändert also nichts.

AW: IDFTP Sicherheitsproblem?
 

vielen Dank!

Ciao
Stefan

AW: IDFTP Sicherheitsproblem?
 

Wahrscheinlich war eher gemeint dass jedes Skript-Kid das Passwort aus der .exe zu extrahieren kann wenn man sich eine FtpClient1-Komponente auf sein Formular zieht und da das Passwort fest einträgt.

Die DFM-Dateien von Formularen & Datenmodulen sind im Klartext aus der .exe extrahierbar, und da stecken halt nicht nur Eigenschaften wie oder drin, sondern alles, was man so im Formular-Designer eingetragen hat.

AW: IDFTP Sicherheitsproblem?
 

Ja wahrscheinlich ist das damit gemeint.
Daher legt man solche Passwörter als verschlüsselte String-Konstante im Code ab und entschlüssele sie bei Bedarf zur Laufzeit.
Zumindest mache ich das so. Denn selbst vorbelegte Variablen lassen sich u.U. aus der .Exe extrahieren.

Aber auch FTP-seitig macht es Sinn, dem Benutzer nicht mehr Rechte einzuräumen, als er tatsächlich benötigt.