FTP Client Daten sicher?
 

Hallo,

ich habe hier vor einiger Zeit einen Thread gesehen wo es darum ging, das man diesen Code:

nach dem comilieren noch entschlüsseln kann, also das '123' das "Passwort" ist. Jetzt habe ich vor einen FTP Client zu schreiben, mit dem man auf meinem eigenen Server, Datein hochladen kann. Natürlich muss man sich mit seinem Benutzername und Passwort anmelden, jetzt habe ich die befürchtung, das man meinen Benutzernamen und Passwort vom Server auch entschlüsseln kann, was natürlich sehr schlecht wäre. Kann mir vielleicht jemand helfen, wie man es sicher machen kann oder sagen ob man es enschlüsseln kann? Ich nutze den Indy FTP Client 10 mit Borland Delphi 7 Enterprise.

Danke

Re: FTP Client Daten sicher?
 

Die Geschichte mit dem Auslesen des Passwortes aus der Exe ist ja bekannt. Dein Problem, was noch hinzu kommt, ist die FTP-Funktion. Wenn ich das PW nicht aus der Exe auslesen kann, dann sniffe ich eben die Netzwerkpakete mit.

Wäre denn eine PHP + Delphilösung akzeptabel?

Re: FTP Client Daten sicher?
 

Eine Möglichkeit die Kommunikation sicherer zu machen wäre S-FTP zu verwenden. Aber nicht alle FTP-Komponenten können auch die sicherere Variante von FTP.

Re: FTP Client Daten sicher?
 

Man könnte auch auf SFTP o.ä. setzen.

Re: FTP Client Daten sicher?
 

Du schreibst nicht, um welche Art Anwendung / Dateien es geht, aber
wenn du z.B. Usern deiner Software ein Gastverzeichnis einrichtest und sie
z.B. per E-Mail die Zugangsdaten ihres Gastverzeichnisses bekämen,
wäre doch eine erste Ordnung sichergestellt.


Was von Nachteil wäre, ist der höhere Verwaltungsaufwand wegen
der Gastverzeichnisse.


Gruß
Pfoto

Re: FTP Client Daten sicher?
 

Danke erstmal für die Antworten.

@ Pfoto
Ich habe auch schon daran gedacht, aber es wäre wie du schon sagst zusätzliche Arbeit für mich, wenn es aber keine andere Möglichkeit gibt, werd ich es woll so machen. Ich werde mir aber erstmal das S-FTP ansehen.

@ Daniel G.
Das müsstest du mir genauer erklären, ich habe ein paar Grundkenntnisse in PHP, weiß nur nicht wie ich sie in diesem Fall einsetzen soll.


Habe vielleicht noch eine Kleingkeit vergessen zu erwähnen: Es soll eine Art Arbeitsgruppe werden, also das man mehrere Ordner zur Auswahl hat und man sich nur bei dem Ordner "anmelden" kann, für den man auch das Passwort hat.Die Passwörter habe ich in einer verschlüsselten Textdatei auf dem Server liegen. Der Client holt sich dann die Daten aus der Textdatei und schaut dann zu welchem Ordner das Passwort passt. Ein Beispiel: man gibt als Passwort 123 ein, der Client öffnet dann den Ordner 1234 oder sagt, das es kein Verzeichniss gibt, das man mit dem Passwort 123 öffnen kann. Das funktioniert schon, wie gesagt ist jetzt meine einzige Befürchtung noch, das man meine Zugangsdaten für den Server bekommen kann. Ich werde mir jetzt erstmal das S-FTP anschauen und mich dann nochmal hier melden.

mfg

Re: FTP Client Daten sicher?
 

So, ich habe jetzt erstmal den Artikel bei Wikipedia durchgelesen und dann gegoogelt. Nur ich weiß nicht wie ich das SFTP anwende, brauch ich dafür eine Komponente die nicht beim googeln gefunden habe oder sind es irgendwelche veränderungen in der Indy Client Komponente vornehmen?

mfg

Re: FTP Client Daten sicher?
 

Worum geht es?

a.) Die Zugangsdaten in der Exe nicht in Klartext zu haben oder
b.) die Zugangsdaten auch nicht im Klartext über die Leitung zu schicken?

Das Eingangsposting spricht nur von a.). ==> Bearbeite die Zugangsdaten im Programm einfach verschlüsselt.

DP-Maintenance
 

Dieses Thema wurde von "SirThornberry" von "Programmieren allgemein" nach "VCL / WinForms / Controls" verschoben.

Re: FTP Client Daten sicher?
 

Sobald dein Programm die Zugangsdaten kennt, hat die Zugangsdaten auch derjenige dem du das Programm gibst. Das ist als würdest du jemandem einen Umschlag geben und sagen er darf den Schlüssel darin nicht selbst benutzen sondern er muss den Umschlag dem Pförtner geben damit dieser ihn reinlässt. Niemand hindert denjenigen daran den Umschlag einfach aufzureißen.
Man sollte Passwörter etc. also nur dann an leute weiter geben (direkt oder indirekt) wenn sichergestellt ist das mit diesen Passwörtern nicht mehr möglich ist als erlaubt.