Abhören vom Passwort beim Einloggen (FTP-Server) verhindern?
Hallo!
Ich habe ein Programm geschrieben, das über IdFTP auf einen FTP-Server zugreift, der natürlich ein Login mit Username und Passwort verlangt. Wird das Programm an andere weitergegeben, besteht doch jetzt das Problem, dass diese das Passwort herausfinden können. Gegen Einen Angriff mit einem Debugger o.ä. kann ich mich ja noch relativ gut sabsichern, indem ich das Passwort im Programm verstecke/verschlüssle, so dass es zumindest sehr schwer wird das Passwort über z.B. OllyDBG o.ä. herauszufinden. Aber versucht man es mit Ethereal oder ähnlichem, so liegt die Sache anders: Hier kann das Passwort nich verschlüsselt werden; es muss "echt" übertragen werden, und da ist es leicht eben mit Ethereal das Passwort herauszufinden... Frage: Hat jemand eine Idee, wie ich das verhindern kann? |
Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
Es ist beim FTP Protokol festgelegt, daß das Passwort
im Klartext übertragen wird. Aus diesem Grunde wurde auch SFTP und SCP entwickelt. Grüße Klaus |
Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
Zitat:
Ansonsten kannst du dir Implizites SSL ansehen. Grüße Faux |
Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
passwörter gehören einfach nicht in eine Exe. Wie du selbst schon bemerkt hast kann man das mit Disassemblern und Debugern trotzdem rausfinden. Anstelle des FTP-Protokolls könntest du einfach die Daten zum Beispiel an ein PHP-Script senden welches die Daten dann ablegt. So hat der nutzer nicht kompletten Zugriff auf deinen kompletten FTP-Server sondern kann eben nur Dateien hochladen.
Ich bräuchte mir nichtmal die Arbeit des Debuggens machen. Ich würde einfach schauen zu welchem Server du verbindest. Dann würde ich mein Nameserver so konfigurieren das du zu meinem Server verbindest, und mit einfach anzeigen lassen mit welchem Passwort du versucht hast dich einzuloggen. |
Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
Vielleicht hilft Dir auch das hier weieter -> http://www.planet3dnow.de/vbulletin/...d.php?t=230052
Grüße Klaus |
Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
also SSL möchte ich mir jetzt nicht extra ansehen und von PHP hab ich keine ahnung :(
Weiß jmd. ein gutes Tutorial fürs Debuggen?dann kann ich mich wenigstens hier mal reindenken und schaun wie ich diesen Teil abschotte. |
Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
Ok mal nachdenken:
1. Möglichkeit -Du könntest versuchen über FindWindow z.B. sehen ob die bekannten Debugger wie OllyDbg, SoftICE etc. laufen 2. Möglichkeit -Du schaust dir mal diesen Link an. 3. Möglichkeit -Versuch deine Exe mit einem möglichst guten Crypter zu verschlüssen (ist nur pseudo-Sicherheit da eh eine unkomprimierte Exe im Speicher liegen muss) So das wären erstmal Dinge um das Debuggen zu verhindern. Wegen dem Passwort auslesen: 1. Möglichkeit -Du schreibst dir nen eigenen FTP Server - Fällt aber vermutlich weg da du vermutlich nen externen FTP auf nem Webhoster hast 2. Möglichkeit -Du verwendest, wie bereits genannt, SFTP oder SCP Wie man sieht ist die ganze Geschichte gar nicht so leicht zu lösen. Wie bereits genannt ist FTP nunmal eben ein Klartextprotokoll genau wie Telnet. Gruß, Stefan |
Re: Abhören vom Passwort beim Einloggen (FTP-Server) verhind
Zitat:
Zitat:
Grüße Faux |
Alle Zeitangaben in WEZ +1. Es ist jetzt 15:18 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz