Sicherheit in eigener Anwendung...

Rund um die LCL und andere Komponenten
pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Sicherheit in eigener Anwendung...

Beitrag von pluto »

wird bereits schadcode ist. Man kann auch hardware keylogger verwenden (kleine usb geräte die man zwischen PC und tastatur hängt), das ist Software mäßig gar nicht zu erkennen (und zumindest ich benutz meinen Computer schonmal über monate hinweg ohne einmal nachzuschauen ob meine tastatur noch richtig eingesteckt ist).

Kann mir nicht passieren, USB Maus und USB Tastatur hängen an einem USB Hub... Ich denke da ein Keylogger zwischen zu stecken wird schon aufwendiger.. oder?

Als Dienstleister kann man nur sichergehen das alles bis zum End nutzer möglichst sicher ist, ab da muss der Nutzer selbst sich um die Sicherheit kümmern

100% Sicherheit gibt es glaube ich nie... Aber man kann sehr viele Steine in den Weg legen... die erst beiseite geräumt werden müssen.

Edit:
Bei "Timm Thaler" Antwort hatte ich in der E-Mail wieder ein :80 bei warf Antworten hatte ich das in diesem Thread noch nicht...
MFG
Michael Springwald

Warf
Beiträge: 1908
Registriert: Di 23. Sep 2014, 17:46
OS, Lazarus, FPC: Win10 | Linux
CPU-Target: x86_64

Re: Sicherheit in eigener Anwendung...

Beitrag von Warf »

pluto hat geschrieben:Kann mir nicht passieren, USB Maus und USB Tastatur hängen an einem USB Hub... Ich denke da ein Keylogger zwischen zu stecken wird schon aufwendiger.. oder?

Sagenwir es mal so, man kann natürlich den Anschluss am usb hub intercepten, oder man bastelt sich einen der den gesamten usb hub loggen kann. Das kann zwar kein of the shelf 15€ Teil wie man sie im Internet überall bekommt, aber mit nem arduino und ein paar Wochen Zeit bekommt man auch so was gebastelt

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Sicherheit in eigener Anwendung...

Beitrag von pluto »

Sagenwir es mal so, man kann natürlich den Anschluss am usb hub intercepten, oder man bastelt sich einen der den gesamten usb hub loggen kann. Das kann zwar kein of the shelf 15€ Teil wie man sie im Internet überall bekommt, aber mit nem arduino und ein paar Wochen Zeit bekommt man auch so was gebastelt

Das ja, aber ich denke dafür ist kein Angriff ausgelegt erst einmal... Aber wer weiß, vielleicht gibt es schon USB Hub mit Datenlogger Funktionen.... und so schwer ist das nun auch wieder nicht.
Nur es muss mögliches unauffällig sein.
MFG
Michael Springwald

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Sicherheit in eigener Anwendung...

Beitrag von pluto »

So wie es aussieht muss ich mein Sicherheitskonzept komplett überdenken....

Ich habe mit jemanden im Verein gesprochen der sich Auskennt(Er ist Software Entwickler und Physiker)
1. Meine Transport Verschlüsslung ist unsicher. Weil ich immer den gleichen Key Verwende.
Ich müsste den Key bei jeder Übertragung verändern. Weil sonst kann man ein Tabellen Angriff machen und das soll sehr schnell gehen.
Hier sollte ich unbedingt TLS verwenden, dass wäre Sicher. Sogar so sicher das man hier rüber Unverschlüsselt das Password übertragen kann.

2. Das Login verfahren was ich von dir(Warf) habe ist auch unsicher. Was das genau bedeutet muss ich noch mal genauer nachfragen.
Hier sollte ich neben TLS Zertifikate verwenden. Oder nur TLS.

Ich werde es aber noch genauer Studieren das Thema... und mir vielleicht verschiedene Andere Projekte zum Thema ansehen.

Edit: Ich habe noch mal das Word TTL durch TLS geändert.
Danke für den Hinweis, Michael.
Zuletzt geändert von pluto am So 23. Dez 2018, 14:02, insgesamt 2-mal geändert.
MFG
Michael Springwald

Benutzeravatar
m.fuchs
Lazarusforum e. V.
Beiträge: 2636
Registriert: Fr 22. Sep 2006, 19:32
OS, Lazarus, FPC: Winux (Lazarus 2.0.10, FPC 3.2.0)
CPU-Target: x86, x64, arm
Wohnort: Berlin
Kontaktdaten:

Re: Sicherheit in eigener Anwendung...

Beitrag von m.fuchs »

TLS bitte. Transport Layer Security.
Software, Bibliotheken, Vorträge und mehr: https://www.ypa-software.de

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Sicherheit in eigener Anwendung...

Beitrag von pluto »

TLS bitte. Transport Layer Security.

Meine ich ja, sorry... Ich werde aber ihn noch mal fragen, wenn ich jetzt wirklich über TLS gehe, dürfte das jetztige Anmelde verfahren wohl sicher genug sein.

PS:
auch bei dir Michael hatte ich wieder die :80 in der E-Mail. Bei Warf hatte ich das bisher noch nicht beobachtet...
Gehst du vielleicht über HTTPS? Weil ich gehe nicht über HTTPS...
MFG
Michael Springwald

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Sicherheit in eigener Anwendung...

Beitrag von pluto »

Ich suche gerade nach tutorials für Loginsystem, die als Sicher angesehen werden, da bin ich auf diesen Github gestoßen:
https://github.com/hiraethbbs/pascal_bc ... BCrypt.pas

habe es nur grob angesehen.... Bei PHP-einfach gibt es auch einige gute Artikel...
MFG
Michael Springwald

compmgmt
Beiträge: 351
Registriert: Mi 25. Nov 2015, 17:06
OS, Lazarus, FPC: Win 10 Pro | Lazarus 1.8.2 | FPC 3.0.4
CPU-Target: i386 + x86_64
Wohnort: in der Nähe von Stuttgart
Kontaktdaten:

Re: Sicherheit in eigener Anwendung...

Beitrag von compmgmt »

Da ich aktuell an einem kleinen 2D Multiplayer Spiel sitze was auch Nutzeraccounts unterstützt möchte ich auch mal meinen Senf dazugeben :).

Die komplette Kommunikation ist mit BlowFish verschlüsselt, wobei der Ver-/Entschlüsselungskey sich regelmäßig ändert (wie genau sage ich aber nicht ;)). Passwörter werden zusätzlich zur Verschlüsselung ausschließlich als SHA256 übertragen und auch so auf dem Server gespeichert.

Ist eventuell eine Anregung für den einen oder anderen. Oder auch andersrum: vielleicht habt ihr noch Anregungen für mich.

Code: Alles auswählen

InitiateSystemShutdownExA(nil, nil, 0, true, false, $0005000F);
Have fun with this snippet ;)

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Sicherheit in eigener Anwendung...

Beitrag von pluto »

(wie genau sage ich aber nicht ;))

Schon ein Problem, wie ich gesagt habe, also ist die Verschlüsslung "unsicher".
Eine Verschlüsslung ist nur sicher, wenn sie auch nach Bekannt werden nicht entschlüsselt werden kann. Das ist die große Kunst dabei.
(wurde mir gesagt, aufjedenfall....)

Passwörter werden zusätzlich zur Verschlüsselung ausschließlich als SHA256 übertragen und auch so auf dem Server gespeichert.

Wichtig ist hier, dass die Daten immer anders aussehen, die übertragen werden, die dürfen NIE gleich aussehen, dann könnte man sie relativ leicht entschlüsseln auch ohne den schlüssel zu kennen.

Ist eventuell eine Anregung für den einen oder anderen. Oder auch andersrum: vielleicht habt ihr noch Anregungen für mich.

Mein Tipp, wie ich inzwischen gelernt habe: Nutzt für den Transport Weg TLS.. und mache es so wie andere es auch machen(Hatte schon Warf vorgeschlagen) entwickel nichts eigenes...
was Verschlüsslung angeht. Nur was gut abgehangen ist, gilt als sicher.

Edit:
@compmgmt bei dir war auch kein :80 in der E-Mail...
(ich achte jetzt mal darauf, wo :80 drin steht und wo nicht, es muss mit HTTPS zusammen hängen.)
MFG
Michael Springwald

compmgmt
Beiträge: 351
Registriert: Mi 25. Nov 2015, 17:06
OS, Lazarus, FPC: Win 10 Pro | Lazarus 1.8.2 | FPC 3.0.4
CPU-Target: i386 + x86_64
Wohnort: in der Nähe von Stuttgart
Kontaktdaten:

Re: Sicherheit in eigener Anwendung...

Beitrag von compmgmt »

pluto hat geschrieben:Mein Tipp, wie ich inzwischen gelernt habe: Nutzt für den Transport Weg TLS.. und mache es so wie andere es auch machen(Hatte schon Warf vorgeschlagen) entwickel nichts eigenes...
was Verschlüsslung angeht. Nur was gut abgehangen ist, gilt als sicher.
Wenn es dafür anständige und leichtgewichtige Pascalbibliotheken gibt die unter der LGPL, MIT oder BSD-Lizenz stehen, gerne. Ich nutze als Basis für Server und Client TLTcp und TLUdp von LNet, die meines Wissens nach auch OpenSSL-Unterstützung mitbringen.

Code: Alles auswählen

InitiateSystemShutdownExA(nil, nil, 0, true, false, $0005000F);
Have fun with this snippet ;)

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Sicherheit in eigener Anwendung...

Beitrag von pluto »

Basis für Server und Client TLTcp und TLUdp von LNet, die meines Wissens nach auch OpenSSL-Unterstützung mitbringen.

Ja, OpenSSL gilt als Sicher...
es gibt auch einige Pascal Libs, für die Password erzeugen und der gleichen, die habe ich aber noch nicht alle durchgegangen.... weil ich noch am Anfang vom Projekt stehe:


Leider habe ich nur wenig bis gar nichts gefunden, bei meiner Suche nach Loginsystemen.... als Tutorial oder als Doku oder sowas...
Ein paar Artikel gibt es schon, die beschreiben es aber irgendwie nicht genau genug. Für Pascal habe ich im Prinzip nichts gefunden....
bisher. Wenn jemand gute Links kennt.... immer her damit.....
MFG
Michael Springwald

Antworten