[INFORMATION] Sicherheit bzgl. eigener Programme

  • Habe hier schon mehrere Tools gesehen, mit denen man bspw. den SAMP Server steuern kann.
    Dabei mangelt es jedoch immer an Sicherheit.


    Ein Beispiel ist das Tool von |-|auke (SAMPit 1.2 - Jetzt kostenlos!).
    Es wird eine direkte Verbindung zur Datenbank aufgebaut. Die Daten können so also einfach mit einem Sniffer abgefangen und ausgelesen werden.


    Dies soll jetzt natürlich keine Anleitung sein, wie ihr dies macht, sonderen eher ein Anleitung, wie ihr dies verhindert.


    Zunächst könnt ihr die Sicherheit eures Programmes durch Beachtung einiger Hinweise erhöhen:

    • Speichert nie Daten von bspw. einer Datenbank oder eines FTP Server als Klartext in eurem Programm.
      Diese können sonst einfach mit einem Disassambler ausgelesen werden.
    • Baut nie eine unverschlüsselte Verbindung zu einer Datenbank oder einem FTP Server auf, da die Benutzer eures Programmes die Packets die an den jeweiligen Server gesendet werden, einfach mit einem Sniffer abfangen und auslesen können.
    • Führt nie direkt eine SQL Query in eurem Programm durch.

    Solltet ihr trotzdem eine Datenbankverbindung benötigen, schlage ich euch folgende Methode vor:
    Ihr legt auch einem WebServer (bspw. bplaced) ein PHP Script an, welches ihr per GET Parameter steuern könnt.
    Dann regelt das PHP Script alle Verbindungen zum MySQL Server und das Programm ruft nur per HTTP Request das PHP Script auf.
    Dadurch bleiben alle wichtigen Verbindungen serverside, und erschwert dadurch Hackern, Zugriff auf eure Datenbank zu bekommen.


    Außerdem hilfreich:
    http://de.wikipedia.org/wiki/S…ction#Gegenma.C3.9Fnahmen
    http://php.net/manual/de/funct…ql-real-escape-string.php


    Edit:
    Satzzeichen vergessen.

  • Es geht hier nicht um den Schaden, den eine .exe auf dem eigenen Computer anrichten kann, sondern um den Schaden, der durch Hacker entstehen kann, wenn die Verbindung des Programmes zu einem Server schlecht gesichert ist.

  • "Keinen schrott dlen"..
    Ich denke ich versteht nicht wirklich, dass es hier nicht um die Sicherheit der Benutzer der Programme geht..

  • Ihr könnt gerne Kritik o. Ä. zu meiner Information äußern.

  • Hi,


    vorerst finde ich es eine Frechheit soetwas zuschreiben:

    Zitat

    Wir sindn samp Forum und nich das "Goverment security Forum" vondemher... wayne? H4xx0r können doch eh fast alles anrichten vondemher... wie Maddin bereits gesagt hat: Keinen schrott dlen


    ->Ortographisch unkorrekt!


    Nun zum Thema. Ich finde es gut das du den Usern Hinweise geben möchtest wie man eine grundlegende Basis gegen "Hacker" aufbauen kann.
    Und ja :D Viel Spaß noch.