Du bist nicht angemeldet.

Stilllegung des Forums
Das Forum wurde am 05.06.2023 nach über 20 Jahren stillgelegt (weitere Informationen und ein kleiner Rückblick).
Registrierungen, Anmeldungen und Postings sind nicht mehr möglich. Öffentliche Inhalte sind weiterhin zugänglich.
Das Team von spieleprogrammierer.de bedankt sich bei der Community für die vielen schönen Jahre.
Wenn du eine deutschsprachige Spieleentwickler-Community suchst, schau doch mal im Discord und auf ZFX vorbei!

Ports

Werbeanzeige

BlueCobold

Community-Fossil

Beiträge: 10 738

Beruf: Teamleiter Mobile Applikationen & Senior Software Engineer

  • Private Nachricht senden

21

01.06.2014, 16:38

Speichern musst Du den schon irgendwo. Nur ist beides halt blöd - sowohl DB, als auch in Files. Du könntest es obfuscaten, indem Du das als File ablegst, aber ebenfalls rudimentär verschlüsselt, sodass der Code ihn entschlüsselt. Kannst es noch weiter kombinieren, indem Du den Schlüssel dafür in der Datenbank hast. Dann muss der Angreifer drei Teile für das Puzzle bekommen - das Key-File, die DB und den Code. Bei einem Einbruch in den Server hast Du aber eigentlich immer verloren.
Teamleiter von Rickety Racquet (ehemals das "Foren-Projekt") und von Marble Theory

Willkommen auf SPPRO, auch dir wird man zu Unity oder zur Unreal-Engine raten, ganz bestimmt.[/Sarkasmus]

birdfreeyahoo

Alter Hase

  • »birdfreeyahoo« ist der Autor dieses Themas

Beiträge: 756

Wohnort: Schorndorf

Beruf: Junior Software Engineer

  • Private Nachricht senden

22

01.06.2014, 16:53

Ok danke, bei einem Server-Einbruch ist es ja dann wie wenn der alles auf dem PC hätte, heißt er kann das Programm dekompilieren, alle Files einsehen und ich sag immer: Wenn alles nur auf dem eigenen PC läuft kann man immer dran rumschrauben und modifizieren, vorallem in Datenbanken.

Würde es reichen das Keypair mit einer AES-Verschlüsselung zu verschlüsseln?
Ist es unbedingt notwendig mit einem IV zu arbeiten, wenn ich Nicht-Klartext immer mit dem gleichen Key verschlüssele?

BlueCobold

Community-Fossil

Beiträge: 10 738

Beruf: Teamleiter Mobile Applikationen & Senior Software Engineer

  • Private Nachricht senden

23

01.06.2014, 17:35

Wie sicher muss es denn sein und warum?
Teamleiter von Rickety Racquet (ehemals das "Foren-Projekt") und von Marble Theory

Willkommen auf SPPRO, auch dir wird man zu Unity oder zur Unreal-Engine raten, ganz bestimmt.[/Sarkasmus]

birdfreeyahoo

Alter Hase

  • »birdfreeyahoo« ist der Autor dieses Themas

Beiträge: 756

Wohnort: Schorndorf

Beruf: Junior Software Engineer

  • Private Nachricht senden

24

01.06.2014, 17:45

Also der Nicht-Klartext ist ein Passwort das auf dem PC neben anderen unempfindlichen Daten gespeichert wird, ich will bloß, dass man durch öffnen der Datei nicht direkt das Passwort vor die Nase gesetzt bekommt.
Reicht da eine simple DES-Verschlüsselung?

Die Passwörter mit den Daten drumherum werden auf den Server synchronisiert. Dazu werden sie mit AES verschlüsselt, der IV mit dem Key werden mit RSA verschlüsselt, den öffentlichen Schlüssel hat der Client davor vom Server bekommen (Verbindungsaufbau).

Auf dem Client selber, sollen die Passwörter nur nicht direkt lesbar sein, da ist die Sicherheit nicht soooo wichtig.
Eher sollte die Übertragung sicher sein und nicht einfach gelesen werden können.

Abrufen kann nur ein Client, der sich davor über seine GUID identifiziert, die er beim Login-Vorgang vom Server bekommen hat.
Die GUID ist nicht sichtbar (bzw. nur seine eigene, wenn man den RAM ausliest, oder den Server hackt).
Die GUID anderer Clients zu erraten sollte ein Ding der Unmöglichkeit sein.

Nox

Supermoderator

Beiträge: 5 272

Beruf: Student

  • Private Nachricht senden

25

01.06.2014, 19:09

Weil du in einem Nebensatz Datenbanksicherheit erwähntest: bitte BITTE BITTE(!!!) nutze prepared statements. Diese werden eigentlich von allen größeren Datenbanken/Sprachschnittstellen unterstützt.

Was genau willst du eigentlich erreichen? Und welche Daten willst du eigentlich speichern, dass du dir solche Sorgen um Sicherheit machst? Warum kannst/willst du nicht auf bestehende Lösungen zurückgreifen?
PRO Lernkurs "Wie benutze ich eine Doku richtig"!
CONTRA lasst mal die anderen machen!
networklibbenc - Netzwerklibs im Vergleich | syncsys - Netzwerk lib (MMO-ready) | Schleichfahrt Remake | Firegalaxy | Sammelsurium rund um FPGA&Co.

birdfreeyahoo

Alter Hase

  • »birdfreeyahoo« ist der Autor dieses Themas

Beiträge: 756

Wohnort: Schorndorf

Beruf: Junior Software Engineer

  • Private Nachricht senden

26

01.06.2014, 20:06

Es geht um ein Passwortverwaltungsprogramm das auch Cloud-Synchronisation anbietet.
Auf TLS könnte ich zurückgreifen.

Nox

Supermoderator

Beiträge: 5 272

Beruf: Student

  • Private Nachricht senden

27

01.06.2014, 20:27

Machst du das als Hausarbeit, aus Interesse oder wozu genau? Gesetz dem Fall dass du es als Dienst im Inet anbieten willst, rate ich zu mindestens eine Beratung bei einer auf Internetrecht spezialisierten Anwaltskanzlei und ner guten Rechtsschutzversicherung. Denn ich weiß ehrlich gesagt nicht wie es mit dem Thema Haftung ausschaut.
PRO Lernkurs "Wie benutze ich eine Doku richtig"!
CONTRA lasst mal die anderen machen!
networklibbenc - Netzwerklibs im Vergleich | syncsys - Netzwerk lib (MMO-ready) | Schleichfahrt Remake | Firegalaxy | Sammelsurium rund um FPGA&Co.

BlueCobold

Community-Fossil

Beiträge: 10 738

Beruf: Teamleiter Mobile Applikationen & Senior Software Engineer

  • Private Nachricht senden

28

01.06.2014, 20:32

Ja, das kann richtig Ärger geben bei einer Klage im Fall der Fälle.
Teamleiter von Rickety Racquet (ehemals das "Foren-Projekt") und von Marble Theory

Willkommen auf SPPRO, auch dir wird man zu Unity oder zur Unreal-Engine raten, ganz bestimmt.[/Sarkasmus]

JustSid

Frischling

Beiträge: 54

Beruf: Lead Idiot

  • Private Nachricht senden

29

01.06.2014, 23:41

Zitat von »birdfreeyahoo«

Es geht um ein Passwortverwaltungsprogramm das auch Cloud-Synchronisation anbietet.
Auf TLS könnte ich zurückgreifen.

Lass sofort die Finger weg von eigener Krypto! 8|
Andere haben es bereits gesagt, aber was auch immer du glaubst, das wird nichts! Ich weiß, Dinge wie AES sehen Kinderleicht zu bauen aus, und das sind sie auch, aber das heißt nicht das sie sicher sind. Krypto ist ein Sack voller schmerzen und eigene Krypto bauen ist ein noch größerer Sack mit dem du nichts zu tun haben möchtest. Nimm etwas abgehangenes das von vielen Projekten benutzt wird auf das viele Leute die Ahnung(!) von der Materie geguckt haben und das von einem Team mit einem nachweisbaren track record kommt!
Jabberwock is killing user

birdfreeyahoo

Alter Hase

  • »birdfreeyahoo« ist der Autor dieses Themas

Beiträge: 756

Wohnort: Schorndorf

Beruf: Junior Software Engineer

  • Private Nachricht senden

30

01.06.2014, 23:55

AES und RSA bauen will ich gar nicht, dafür gibts die CryptoServiceProvider von .NET .
@JustSid: Hast du einen Vorschlag? Es geht einfach darum, die Daten auf den Server zu tun und sicher zu verwahren.

Ok ich werde mich mit einem Anwalt in Verbindung setzen.

Ich versteh nicht was ihr meint mit was von vielen Projekten genutzt wird. Könnt ihr mir konkrete Beispiele geben?

Werbeanzeige

Ähnliche Themen