Kommunikation mit Webserver besser machen
 

Hossa,

ich hätte da mal eine Frage mit der Bitte, meine Gedanken in neue Richtungen zu lenken:

Ich hatte mal angefangen, sowas wie ein Messaging-Programm in Delphi zu schreiben. Ursprünglich war das nur für mich, also hab ich mir über Sicherheit etc. keine Gedanken gemacht. So funktioniert die Kommunikation mit einem PHP-Skript auf einem Webserver (der mehrere Clients verbindet) bisher ganz einfach, indem ich die Nachrichten in die URL kodiere, also per GET, und die Adresse dann mit der TWebBrowser-Komponente aufrufe (Und Nachrichten auch über diese Komponente empfange).

In Punkto Sicherheit bin ich bisher nur so weit gekommen, dass ich die Daten per crypt verschlüssele, aber als Sicher kann man das ja nun nicht unbedingt verkaufen.

Das Problem ist nun, dass ich das Programm nicht mehr nur für mich verwenden möchte, ich aber befürchte, dass diese Kommunikationsweise zwischen Clients und Server einfach zu offensichtlich und unsicher ist. Jeder könnte sie mit einfachen Mitteln leicht durchschauen und die Schnittstellen des Servers genauso nutzen, wie es eigentlich nur die Clients können sollten.

Zweites Problem ist, dass ich Momentan nur TurboDelphi verwenden kann, also keine Indy-Komponenten habe. Aber um ehrlich zu sein fehlen mir einfach die Gedanken-Ansätze, wie ich die Lösung des Problems angehen sollte.
Um es schicker zu machen, fiele mir nur noch ein, Daten nicht per GET, sondern per POST zu versenden, was ich über TWebBrowser vielleicht sogar noch hinbekommen würde, aber da braucht jemand nur mal den Netzwerkverkehr zu beobachten und liest die Schnittstellenbeschreibung meines Servers quasi im Klartext (inkl. Benutzernamen und Passwort). :wall:

Hat da evtl. jemand eine Idee, wie ich an die Lösung des Problems herangehen könnte? Idealerweise ohne Indy.

Erstmal schönen Dank und schönes Wochenende ...
-Sam :cheers:

Re: Kommunikation mit Webserver besser machen
 

Hi,

kurz zu Indy und TurboDelphi. Die Indys sind auch dort dabei, nur kannst Du sie nicht auf die Form klatschen, wie Du es gewohnt bist. Jedoch kannst Du diese über den Quelltext erzeugen (die entsprechenden Units natürlich einbinden).

MfG

Re: Kommunikation mit Webserver besser machen
 

1.) Es hindert Dich niemand daran, die Indys zu nutzen.
Du musst sie halt im Code erzeugen und ansprechen, aber das war's dann auch schon an Aufwand.

2.) Was ist so schlimm an einem offenen Protokoll? ;-)

Wenn Du den Aufwand das Protokoll zu verwenden möglichst hochtreiben willst, dann benutz doch Public / Private Key Kryptographie. Das heisst, Du stattest Server und Client mit einem Schlüsselpaar aus. Mit diesem jeweiligen Schlüsselteil verschlüsselt kann nur der jeweils andere die Daten entschlüsseln.

Re: Kommunikation mit Webserver besser machen
 

Hallo,
danke für die Antworten!

Na das ist ja ein Ding... ich als alter Formklatscher glaube natürlich nur, was ich sehe und da ich Indy nicht gesehen habe... naja. Dann mach ichs auf jeden Fall mit Indy.

Was mein generelles Problem angeht: Nunja, die Probleme, die ich mit nem offenen Protokoll hätte, waren ja die, die ich geschrieben habe. Allerdings waren die nicht mehr ganz so problematisch, nachdem ich nochmal gaaaanz lange drüber nachgedacht habe.
Spam-Attacken von Fremd-Clients kann ich ja serverseitig abfangen und so weiter.

Was von meinen Ideen her noch eine alternative gewesen wäre, wär, serverseitig einen Empfänger zu programmieren, der eben irgendwo auf TCP aufsetzt, aber... och, da hab ich keine Lust zu ;)
Also werd ich mich (erstmal) mit der Verschlüsselung per Private Key beschäftigen, es am Anede aber vielleicht sogar grundsätzlich so lassen, wie es jetzt ist.

Danke.
-Sam

Re: Kommunikation mit Webserver besser machen
 

Wie wär's mit SSL ?
Das wird IMHO auch von Indy unterstützt und gilt bisher als relativ sicher.
Du kannst so auf deine eigene Verschlüsselung verzichten.