Wie sicher ist das "Visible" an Objekten
Hallo Leute ich mal wieder.
Ich würde mal eure meinung dazu höhren. Ich progge gerade ein grossen Kundenverwaltungssystem für einen Kabelnetzprovider. Benutzer können sich mit Benutznamen und Passwort anmelden. Je nach Berechtigungsstufe (Werte aus DB) blende ich Knöpfe aus oder schränke Suchcriterien ein. Meine Frage: Ist das Sicherheitstechnisch vertretbar die Visible Option zu nutzen? oder sollte ich die Objekte freigeben (button1.free). lg Bundy |
Re: Wie sicher ist das "Visible" an Objekten
Ziemlich unsicher, die kann man ganz einfach wieder sichtbar machen, genauso das aktivieren. Aber ich würde die Sicherheit nicht von der GUI abhängig machen, sondern eine Schicht tiefer gehen und zu mindest die Berechtigungen noch abfragen, bevor irgend etwas ausgeführt wird, am besten sogar auf DB Ebene.
|
Re: Wie sicher ist das "Visible" an Objekten
Zitat:
Du möchtest dir EDA anschauen. |
Re: Wie sicher ist das "Visible" an Objekten
Eine ungeschützte Exe kann in ihren Objekteigenschaften manipuliert werden. Das ist damit nicht sicher.
Du könntest eine Buttonklasse ableiten, die im Create seinen Status abfragt und das Create abbrichtt. Oder ein Programm zur Verschlüsselung der Exe-Datei nehmen (ICE-Lock). Das spart letzlich mit neuen Objekten zu arbeiten. Grüße // Martin |
Re: Wie sicher ist das "Visible" an Objekten
Zitat:
Außerdem sagtest du schon, daß eine Echse nicht sicher ist, den Konstruktor eines Buttons könnte ich auch patchen, wenn ich ihn erstmal gefunden habe, das macht es mir als Hacker also nur schwieriger, ist aber eigentlich immer noch ein Witz. Sicher kriegt man das nur, wenn man selbst der einzige ist, der die Kontrolle über Funktionalität hat. Das schreit also schon fast nach einem Webservice, muss ja nicht mit HTML-Frontend (ASP(.NET)), andere Mütter haben ja auch nette Thin Clients. Dann ist es zumindet *ziemlich* sicher. Kommt nur drauf an, wie sicher es sein muss, damit es den Aufwand rechtfertigt, um die gewünschte Sicherheit zu erreichen. Da das Ganze anscheinend eh über's Netz läuft, sollte man auf jeden Fall ein Acknowledgment für jedes Kommando machen. Entweder, der Server bestätigt, dann ist alles in Ordnung, oder er lehnt ab, idealerweise mit Fehlercode, dann hatte man nicht genügend Rechte und der Client meldet sich beim Benutzer zu Wort, zum Beispiel mit wüsten Beschimpfungen. Bei Sicherheitssystemen ist es immer unklug, Sicherheitsprüfungen in Komponenten zu verlagern, über die du keine Kontrolle hast. Delikate Dinge im Client sind also tabu, denn der Server ist das einzige, über das du Kontrolle hast. |
Re: Wie sicher ist das "Visible" an Objekten
Wie könnte ich das bewerkstelligen ?
User drückt knopf und Server überprüft ob er auch die Berechtigungen besitzt... hab ich das so richtig verstanden ? oder bin ich komplett auf dem Holzweg. |
Re: Wie sicher ist das "Visible" an Objekten
Zitat:
|
Re: Wie sicher ist das "Visible" an Objekten
Und die if-Abfrage kan ich ich umgehen. Meiner Meinung nach, müsste das alles schon auf dem Server passieren. Dort müssen für den Datenbankzugriff unterschiedliche Benutzer mit entsprechenden Rechten eingerichtet sein.
|
Re: Wie sicher ist das "Visible" an Objekten
Ich hab einen Table der Sicherheitsstufe heisst.
Jeder Benutzer hat eine zugeteilte Sicherheitsstufe. Beim Loggin ruft er zum Benutzer die dazugehörige Sicherheitsstufe auf. Im Table Sicherheitsstufe, hab ich z.B ID Object Enabled Visible .... ------------------------------------------ 1 Button1 true true 2 Button2 false true 3 Button3 .... .. ...... ___________________________________________ Nachdem der Userer erfolgreich eingeloggt ist setzt er die Werte von der DB auf die Objekte. |
Re: Wie sicher ist das "Visible" an Objekten
Warum verwendest du nicht das eingebaute Sicherheitssystem des DBMS?
In dieser Variante hast du ja schon wieder Buttons, die clientseitig aktiviert/deaktiviert werden. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 11:13 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz