[HaBo]

gerry · 06.10.08, 18:30

Hallo

Ich habe ein Programm in .net geschrieben.
Dort wird für den zugriff auf eine DB ein Password verwendet.
Ich habe dazu eine frage wie kann ich das password so schwierig wie möglich verstecken,
dass man es nicht gleich mit einen Net Reflector auslesen kann
(dort sieht man den code ja fast 1:1).Ich habe da ja keine peilung.

p.s. ich kann das password nicht änder ,es ist fix vergeben.
und es reicht wenn gelegenheits programmierer abgewürgt werdn.
Ich brauche keine High end lösung, denn das ist mein Prog auch nicht. ;-)

Danke euch in voraus.

t3rr0r.bYt3 · 06.10.08, 19:04

Evtl. aus einer Datei auslesen (die natürlich nicht dem Programm beiliegt, sondern der entsprechende Benutzer selbst erstellt / editiert).
Falls das Programm ständig rennt, beim Start des Programms einmal nach dem Passwort fragen, das bleibt dann nur im RAM liegen.
Beides lässt sich noch nach belieben mit einer Verschlüsselung kombinieren.

Anzeige

- Anzeige -

gerry · 06.10.08, 19:13

ein problem ist ja, das das Program freeware ist,aber nur der Datenbankzugriff
muss geschützt sein ,also ich muss eventuelle dateien immer mitgeben.

**Elderan** · 06.10.08, 19:13

Hallo,
direkt auf die DB zuzugreifen, bei Programmen die bei nicht vertrauenswürdigen Clients liegen, ist keine gute Idee.
Stattdessen sollte man lieber irgendeine Middle Ware Lösung nutzen, z.B. mit WebServices o.ä.

Ansonsten schau mal hier:
[FAQ] DB-Password/Kennwort/Connection-String sicher speichern

Edit:

Zitat:

Original von gerry
ein problem ist ja, das das Program freeware ist,aber nur der Datenbankzugriff
muss geschützt sein ,also ich muss eventuelle dateien immer mitgeben.

Gerade dann sollte man eine Middle Ware einsetzen... Irgendwelche User auf die DB direkt zugreifen zu lassen ist keine gute Idee. Dafür ist eine DB nicht gedacht.

gerry · 06.10.08, 19:48

Das beim C# forum geht auch nicht ganz,

Die DB ist fix und gefüllt und ich kann sie nicht verändern,benutzer erstellen usw.
Webserver für so etwas erstellen will und kann ich auch nicht.
allso muss ich dieses Password irgentwie in den source code hineinschreiben.
Das ist eine scheiss zwickmühle

t3rr0r.bYt3 · 06.10.08, 20:00

Zitat:

Original von gerry
ein problem ist ja, das das Program freeware ist,aber nur der Datenbankzugriff
muss geschützt sein ,also ich muss eventuelle dateien immer mitgeben.

Das macht jetzt überhaupt keinen Sinn mehr. "Freeware", aber nur für einen Benutzer zugeschnitten, ja? (Sein DB-Passwort kann ja jeder selbst wählen.. sprich, sowas hardcoden macht überhaupt keinen Sinn.)
Ansonsten, was spricht denn dagegen, die Datei mitzuliefern, und der, der das Programm benutzt, muss halt einmal sein Passwort reinschreiben?
Oder das Programm fragt, falls kein Passwort in der Datei steht, selbstständig nach und schreibt es dann in die Datei?

gerry · 06.10.08, 20:20

um alles zu beschreiben.

Mein Programm greift auf eine DB von einen Programm zu,
der Autor erlaubt aber nicht jeden den zugriff auf seine Db.
Deshalb muss ich für mein freeware plugin sein password so gut wie möglich schützen.
Das dann nicht jeder dahergelaufene Programmieranfänger die ganze db leicht auslesen kann.

Hatt einer ein Idea

enkore · 24.10.08, 10:45

SHA512

**lightsaver** · 24.10.08, 11:24

Zitat:

Original von csde_rats
SHA512

Kannst du das bitte etwas beschreiben, was du mit dem Schlagwort bezweckst bzw. wie du dir vorstellst, dass SHA512 hier helfen könnte?

enkore · 24.10.08, 12:50

Passwort als Hash (je nach DB) speichern und mit gehashten PW authentifizieren - Falls DB das unterstützt.

**lightsaver** · 24.10.08, 12:57

Und worin besteht der Vorteil zur Authentifizierung per Passwort? Dann liest der "Angreifer" den Hash aus statt dem PW und loggt sich dann ebend damit ein.

enkore · 24.10.08, 13:08

Oops Gedankenfehler

**lightsaver** · 24.10.08, 13:11

Passiert schon mal

ArnoNühm · 02.11.08, 03:21

es ist sinnlos, das pw innerhalb der app zu verschleiern. niemand wird sich die arbeit machen in den reverseten code zu schaun, wenn die interessanten daten eh übers netz gehen.

t3rr0r.bYt3 · 02.11.08, 19:17

Außer, diese gehen verschlüsselt (SSL, VPN, such dir was aus) übers Netz. Außerdem, Mithören und selbst die DB durchstöbern sind 2 paar Schuhe.

Anzeige

- Anzeige -

06.10.08, 18:30	#1 (permalink)
gerry Registriert seit: 06.10.08 Likes: 0	Password zu DB ind Net application schützen Anzeige Hallo Ich habe ein Programm in .net geschrieben. Dort wird für den zugriff auf eine DB ein Password verwendet. Ich habe dazu eine frage wie kann ich das password so schwierig wie möglich verstecken, dass man es nicht gleich mit einen Net Reflector auslesen kann (dort sieht man den code ja fast 1:1).Ich habe da ja keine peilung. p.s. ich kann das password nicht änder ,es ist fix vergeben. und es reicht wenn gelegenheits programmierer abgewürgt werdn. Ich brauche keine High end lösung, denn das ist mein Prog auch nicht. ;-) Danke euch in voraus.

24.10.08, 10:45	#8 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	SHA512 __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

24.10.08, 12:50	#10 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	Passwort als Hash (je nach DB) speichern und mit gehashten PW authentifizieren - Falls DB das unterstützt. __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

24.10.08, 13:08	#12 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	Oops Gedankenfehler __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

06.10.08, 19:04	#2 (permalink)
t3rr0r.bYt3 Senior Member Registriert seit: 07.01.03 Likes: 19	Evtl. aus einer Datei auslesen (die natürlich nicht dem Programm beiliegt, sondern der entsprechende Benutzer selbst erstellt / editiert). Falls das Programm ständig rennt, beim Start des Programms einmal nach dem Passwort fragen, das bleibt dann nur im RAM liegen. Beides lässt sich noch nach belieben mit einer Verschlüsselung kombinieren.

06.10.08, 19:13	#3 (permalink)
gerry Themenstarter Registriert seit: 06.10.08 Likes: 0	ein problem ist ja, das das Program freeware ist,aber nur der Datenbankzugriff muss geschützt sein ,also ich muss eventuelle dateien immer mitgeben.

06.10.08, 19:48	#5 (permalink)
gerry Themenstarter Registriert seit: 06.10.08 Likes: 0	Das beim C# forum geht auch nicht ganz, Die DB ist fix und gefüllt und ich kann sie nicht verändern,benutzer erstellen usw. Webserver für so etwas erstellen will und kann ich auch nicht. allso muss ich dieses Password irgentwie in den source code hineinschreiben. Das ist eine scheiss zwickmühle

06.10.08, 20:20	#7 (permalink)
gerry Themenstarter Registriert seit: 06.10.08 Likes: 0	um alles zu beschreiben. Mein Programm greift auf eine DB von einen Programm zu, der Autor erlaubt aber nicht jeden den zugriff auf seine Db. Deshalb muss ich für mein freeware plugin sein password so gut wie möglich schützen. Das dann nicht jeder dahergelaufene Programmieranfänger die ganze db leicht auslesen kann. Hatt einer ein Idea

24.10.08, 12:57	#11 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	Und worin besteht der Vorteil zur Authentifizierung per Passwort? Dann liest der "Angreifer" den Hash aus statt dem PW und loggt sich dann ebend damit ein.

24.10.08, 13:11	#13 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	Passiert schon mal

02.11.08, 03:21	#14 (permalink)
ArnoNühm Registriert seit: 28.07.08 Likes: 1	es ist sinnlos, das pw innerhalb der app zu verschleiern. niemand wird sich die arbeit machen in den reverseten code zu schaun, wenn die interessanten daten eh übers netz gehen.

02.11.08, 19:17	#15 (permalink)
t3rr0r.bYt3 Senior Member Registriert seit: 07.01.03 Likes: 19	Außer, diese gehen verschlüsselt (SSL, VPN, such dir was aus) übers Netz. Außerdem, Mithören und selbst die DB durchstöbern sind 2 paar Schuhe.

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
C++ Windows-Application???	bLaCk-DrAg0n	Code Kitchen	7	14.11.05 16:14
Application.NewDotnet.B	Abooya	Die Problemzone	0	05.08.05 13:35
application server	zeta	Linux/UNIX	2	18.06.05 07:45
application based attack (DoS)	poiin2000	(In)security allgemein	16	02.09.03 21:34
Server Application Error	JasonV	Applikationen	2	29.07.03 16:39

[HaBo]

Password zu DB ind Net application schützen