Delphi-PRAXiS
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   GUI-Design mit VCL / FireMonkey / Common Controls (https://www.delphipraxis.net/18-gui-design-mit-vcl-firemonkey-common-controls/)
-   -   Delphi Wie sicher ist das "Visible" an Objekten (https://www.delphipraxis.net/60823-wie-sicher-ist-das-visible-objekten.html)

bundy 12. Jan 2006 17:27
Wie sicher ist das "Visible" an Objekten
 
Hallo Leute ich mal wieder.

Ich würde mal eure meinung dazu höhren.

Ich progge gerade ein grossen Kundenverwaltungssystem für einen Kabelnetzprovider.

Benutzer können sich mit Benutznamen und Passwort anmelden.
Je nach Berechtigungsstufe (Werte aus DB) blende ich Knöpfe aus oder schränke Suchcriterien ein.

Meine Frage:

Ist das Sicherheitstechnisch vertretbar die Visible Option zu nutzen?

oder sollte ich die Objekte freigeben (button1.free).



lg

Bundy

Luckie 12. Jan 2006 17:46
Re: Wie sicher ist das "Visible" an Objekten
 
Ziemlich unsicher, die kann man ganz einfach wieder sichtbar machen, genauso das aktivieren. Aber ich würde die Sicherheit nicht von der GUI abhängig machen, sondern eine Schicht tiefer gehen und zu mindest die Berechtigungen noch abfragen, bevor irgend etwas ausgeführt wird, am besten sogar auf DB Ebene.

tommie-lie 12. Jan 2006 17:57
Re: Wie sicher ist das "Visible" an Objekten
 
Zitat:
Zitat von bundy
Ist das Sichewrheitstechnisch vertretbar die Visible Option zu nutzen?
Nein.
Du möchtest dir EDA anschauen.

mschaefer 12. Jan 2006 18:03
Re: Wie sicher ist das "Visible" an Objekten
 
Eine ungeschützte Exe kann in ihren Objekteigenschaften manipuliert werden. Das ist damit nicht sicher.
Du könntest eine Buttonklasse ableiten, die im Create seinen Status abfragt und das Create abbrichtt.
Oder ein Programm zur Verschlüsselung der Exe-Datei nehmen (ICE-Lock). Das spart letzlich mit neuen Objekten
zu arbeiten.

Grüße // Martin

tommie-lie 12. Jan 2006 18:17
Re: Wie sicher ist das "Visible" an Objekten
 
Zitat:
Zitat von mschaefer
Du könntest eine Buttonklasse ableiten, die im Create seinen Status abfragt und das Create abbrichtt.
Igitt. Wie hässlich ist das denn?
Außerdem sagtest du schon, daß eine Echse nicht sicher ist, den Konstruktor eines Buttons könnte ich auch patchen, wenn ich ihn erstmal gefunden habe, das macht es mir als Hacker also nur schwieriger, ist aber eigentlich immer noch ein Witz.
Sicher kriegt man das nur, wenn man selbst der einzige ist, der die Kontrolle über Funktionalität hat. Das schreit also schon fast nach einem Webservice, muss ja nicht mit HTML-Frontend (ASP(.NET)), andere Mütter haben ja auch nette Thin Clients.
Dann ist es zumindet *ziemlich* sicher. Kommt nur drauf an, wie sicher es sein muss, damit es den Aufwand rechtfertigt, um die gewünschte Sicherheit zu erreichen.
Da das Ganze anscheinend eh über's Netz läuft, sollte man auf jeden Fall ein Acknowledgment für jedes Kommando machen. Entweder, der Server bestätigt, dann ist alles in Ordnung, oder er lehnt ab, idealerweise mit Fehlercode, dann hatte man nicht genügend Rechte und der Client meldet sich beim Benutzer zu Wort, zum Beispiel mit wüsten Beschimpfungen. Bei Sicherheitssystemen ist es immer unklug, Sicherheitsprüfungen in Komponenten zu verlagern, über die du keine Kontrolle hast. Delikate Dinge im Client sind also tabu, denn der Server ist das einzige, über das du Kontrolle hast.

bundy 12. Jan 2006 18:39
Re: Wie sicher ist das "Visible" an Objekten
 
Wie könnte ich das bewerkstelligen ?

User drückt knopf und Server überprüft ob er auch die Berechtigungen besitzt...

hab ich das so richtig verstanden ? oder bin ich komplett auf dem Holzweg.

Matze 12. Jan 2006 18:41
Re: Wie sicher ist das "Visible" an Objekten
 
Zitat:
Zitat von bundy
Je nach Berechtigungsstufe (Werte aus DB) blende ich Knöpfe aus oder schränke Suchcriterien ein.
Hierzu musst du die Berechtigungsstufe ja ermitteln. Ich weiß nicht, wie das aussieht, aber du kannst dann sicher eine if-Abfrage einfügen, in der du die Berechtigungsstufe überprüfst und entsprechend handelst. Oder wie blendest du die Buttons aus?

Luckie 12. Jan 2006 18:46
Re: Wie sicher ist das "Visible" an Objekten
 
Und die if-Abfrage kan ich ich umgehen. Meiner Meinung nach, müsste das alles schon auf dem Server passieren. Dort müssen für den Datenbankzugriff unterschiedliche Benutzer mit entsprechenden Rechten eingerichtet sein.

bundy 12. Jan 2006 18:47
Re: Wie sicher ist das "Visible" an Objekten
 
Ich hab einen Table der Sicherheitsstufe heisst.
Jeder Benutzer hat eine zugeteilte Sicherheitsstufe.
Beim Loggin ruft er zum Benutzer die dazugehörige Sicherheitsstufe auf.

Im Table Sicherheitsstufe, hab ich z.B


ID Object Enabled Visible ....
------------------------------------------
1 Button1 true true
2 Button2 false true
3 Button3 .... .. ......
___________________________________________


Nachdem der Userer erfolgreich eingeloggt ist setzt er die Werte von der DB auf die Objekte.

Tubos 12. Jan 2006 18:53
Re: Wie sicher ist das "Visible" an Objekten
 
Warum verwendest du nicht das eingebaute Sicherheitssystem des DBMS?
In dieser Variante hast du ja schon wieder Buttons, die clientseitig aktiviert/deaktiviert werden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:13 Uhr.
Seite 1 von 2  1 2      
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz