|
Schwere Sicherheitlücke in idHttp? DRINGEND!
moin jung,
ich hab in ungefaehr 2 h release termin, und steh jetz schon bis zum hals im wasser. idHttp speichert die angaben zu username und passwort voellig unverschluesselt! die daten stehen im klartext in der Programm.exe. jeder kiddi der schon mal spielstaende getunt hat kann das sehen. ich hab auch schon im forum gepostet. da warn dann hinweise wie idhttp.request.password:=chr(12)+chr(86) usw. das is voelliger quatsch. nach dem compilieren stehen die passwoerter bei mir trozdem im klartext drin. jetz hab ich die exe schon mit upx gepackt und man kann den passwortstring immer noch sehen. brauche schnellstens hilfe. biete auch ein kleines Honorar wenns sein muss 10-20 euros oder so, aber es muss schnell gehen und funktionieren. |
Re: Schwere Sicherheitlücke in idHttp? DRINGEND!
|
Re: Schwere Sicherheitlücke in idHttp? DRINGEND!
Liste der Anhänge anzeigen (Anzahl: 1)
vielleicht gehts damit wenn das nicht in der resource drinsteht, ansonsten mussu bei onreate die daten in IDHTTP packen dann sieht man das auch nicht direkt
crypter im anhang (ist von mir in delphi geproggt) |
Re: Schwere Sicherheitlücke in idHttp? DRINGEND!
Zitat:
Vielleicht solltest du dich fragen, warum das Passwort überhaupt fest in der Exe sein muss. Eine Usereingabe oder verschlüsselte Datei wäre vielleicht wesentlich sinnvoller. Und es ist kein Sicherheitsproblem von idHTTP sondern ein generelles von Delphi dass Strings im Klartext dastehen. Und wenn es jemand drauf anlegt, kommt er immer an das Passwort ran, wenn es direkt in der Exe drin steht (in welcher Form auch immer). |
Re: Schwere Sicherheitlücke in idHttp? DRINGEND!
Schwerer machen kannst du es indem du es Vorher verschlüsselst, und nacher wieder entschlüsselst beim vergleichen!
|
Re: Schwere Sicherheitlücke in idHttp? DRINGEND!
Was heisst: "steht in programm.exe"?
Wenn du das Passwort in deinem Programm fest integrierst, bist du selber schuld. |
Re: Schwere Sicherheitlücke in idHttp? DRINGEND!
Liste der Anhänge anzeigen (Anzahl: 1)
Hier noch mein bescheidener Beitrag.
marabu Professioneller wäre die Verwaltung des Kennwortes im protected storage oder etwas vergleichbarem - aber das geht bei mir nicht in ein paar Minuten - sorry. |
Re: Schwere Sicherheitlücke in idHttp? DRINGEND!
Zitat:
Delphi-Quellcode:
Ohne Dissassembler geht dann nichts.
// das Passwort soll "geheim" lauten
function GetPW:string; begin // Verschleierungstaktik result := 'NULLg'; result := Result +'mBartwurst'; Insert('ehei', result, 6); result := Copy(result, 5, 6); end; |
Re: Schwere Sicherheitlücke in idHttp? DRINGEND!
oder so
Delphi-Quellcode:
var bla: array[0..5] of byte =
(byte('g') xor 12, byte('e') xor 12, byte('h') xor 12, byte('e') xor 12, byte('i') xor 12, byte('m') xor 12); procedure TForm1.FormCreate(Sender: TObject); var i: integer; s: string; begin s := ''; for i := 0 to 5 do s := s+char(bla[i] xor 12); form1.caption := s; end; |
Re: Schwere Sicherheitlücke in idHttp? DRINGEND!
Wenn es halbwegs sicher sein soll, musst du dir eben etwas einfallen lassen.
Eine Chip-Karte, ein spezielles Lesegerät oder ähnliches könnten dein problem lösen. Ich würde in keinem Fall, das Passwort im Programm ablegen, auch nicht verschlüsselt. PS: Es kann im prinzip auch eine eingelegte Diskette / CD-ROM / ein angeschlossener USB-Stick sein. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:41 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz
