Abhören vom Passwort beim Einloggen (FTP-Server) verhindern?
 

Hallo!
Ich habe ein Programm geschrieben, das über IdFTP auf einen FTP-Server zugreift, der natürlich ein Login mit Username und Passwort verlangt. Wird das Programm an andere weitergegeben, besteht doch jetzt das Problem, dass diese das Passwort herausfinden können. Gegen Einen Angriff mit einem Debugger o.ä. kann ich mich ja noch relativ gut sabsichern, indem ich das Passwort im Programm verstecke/verschlüssle, so dass es zumindest sehr schwer wird das Passwort über z.B. OllyDBG o.ä. herauszufinden.
Aber versucht man es mit Ethereal oder ähnlichem, so liegt die Sache anders: Hier kann das Passwort nich verschlüsselt werden; es muss "echt" übertragen werden, und da ist es leicht eben mit Ethereal das Passwort herauszufinden...
Frage: Hat jemand eine Idee, wie ich das verhindern kann?

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
 

Es ist beim FTP Protokol festgelegt, daß das Passwort
im Klartext übertragen wird. Aus diesem Grunde wurde auch
SFTP und SCP entwickelt.

Grüße
Klaus

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
 

Wenn die Daten von dir (als Programmierer) hardgecodet eingegeben wurden, gibt keine sichere Möglichkeit, da, wie du bereits gesagt hast, die Daten Plain-Text versandt werden müssen.
Ansonsten kannst du dir Implizites SSL ansehen.

Grüße
Faux

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
 

passwörter gehören einfach nicht in eine Exe. Wie du selbst schon bemerkt hast kann man das mit Disassemblern und Debugern trotzdem rausfinden. Anstelle des FTP-Protokolls könntest du einfach die Daten zum Beispiel an ein PHP-Script senden welches die Daten dann ablegt. So hat der nutzer nicht kompletten Zugriff auf deinen kompletten FTP-Server sondern kann eben nur Dateien hochladen.

Ich bräuchte mir nichtmal die Arbeit des Debuggens machen. Ich würde einfach schauen zu welchem Server du verbindest. Dann würde ich mein Nameserver so konfigurieren das du zu meinem Server verbindest, und mit einfach anzeigen lassen mit welchem Passwort du versucht hast dich einzuloggen.

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
 

Vielleicht hilft Dir auch das hier weieter -> http://www.planet3dnow.de/vbulletin/...d.php?t=230052

Grüße
Klaus

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
 

also SSL möchte ich mir jetzt nicht extra ansehen und von PHP hab ich keine ahnung :(
Weiß jmd. ein gutes Tutorial fürs Debuggen?dann kann ich mich wenigstens hier mal reindenken und schaun wie ich diesen Teil abschotte.

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
 

Ok mal nachdenken:

1. Möglichkeit
-Du könntest versuchen über FindWindow z.B. sehen ob die bekannten Debugger wie OllyDbg, SoftICE etc. laufen

2. Möglichkeit
-Du schaust dir mal diesen Link an.

3. Möglichkeit
-Versuch deine Exe mit einem möglichst guten Crypter zu verschlüssen (ist nur pseudo-Sicherheit da eh eine unkomprimierte Exe im Speicher liegen muss)

So das wären erstmal Dinge um das Debuggen zu verhindern. Wegen dem Passwort auslesen:

1. Möglichkeit
-Du schreibst dir nen eigenen FTP Server - Fällt aber vermutlich weg da du vermutlich nen externen FTP auf nem Webhoster hast

2. Möglichkeit
-Du verwendest, wie bereits genannt, SFTP oder SCP

Wie man sieht ist die ganze Geschichte gar nicht so leicht zu lösen. Wie bereits genannt ist FTP nunmal eben ein Klartextprotokoll genau wie Telnet.

Gruß,

Stefan

Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
 

Wenn mans genau nimmt, kann man die Geschichte ohne SSL (also Verschlüsseltes Senden) garnicht lösen, da, wie du bereits erkannt hast, das passwort Plain-Text versandt werden muss, und alles was den Computer in Plain-Text verlässt, kann jeder mit etwas Geschick auch abfangen und einsehen.


Vielleicht hift dir der Begriff HTTP-Tunnel etwas.

Grüße
Faux