One Click Secure

    • Beta

    Es gibt 59 Antworten in diesem Thema. Der letzte Beitrag () ist von Trade.

      Andy16823 schrieb:

      Version 1004

      lol, schon so weit? Respekt.
      #define for for(int z=0;z<2;++z)for // Have fun!
      Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

      Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

      Automatischen Update Funktion


      "Automatischen Virenausführ Funktion".

      Herrlich. Das Programm lädt direkt eine .xml Datei von einem HTTP-Server (unverschlüsselt und unauthentifiziert) und lädt darin erwähnte ausführbare Dateien runter und führt Sie aus.
      Klasse.

      Was du dort entwickelt hast, ist kein Updater, sondern eine gigantische Sicherheitslücke.
      Ich habe schoneinmal (hier: [VB.NET] Dropbox Download ohne Api) geschrieben, warum es extrem wichtig ist, darauf zu achten, ob seine Updates echt sind.

      So habe eine Sicherheits funktion eingebaut. es werden nur Packete heruntergeladen die auf dem Gleichem Webspace liegen wo auch das Update Verzeichniss Liegt.

      Das Update ist online Verfügbar.
      Bilder

      • save.JPG

        75,01 kB, 742×770, 150 mal angesehen

      Ist das neue Design Besser ? 7
      1.  
        Ja (3) 43%
      2.  
        Nein (4) 57%
      Das Neue Design von One Click Secure 2.0

      Ich habe mich heute mal hingesetzt und habe das design für Version 2.0 Überarbeitet. Es wird so Aussehen.
      Meine Frage Gefällt euch Das Design Besser ?
      Bilder

      • ocs2.0.JPG

        55,8 kB, 971×589, 122 mal angesehen

      Andy16823 schrieb:

      es werden nur Packete heruntergeladen die auf dem Gleichem Webspace liegen wo auch das Update Verzeichniss Liegt.
      Und wann hast du vor die Sicherheitslücke zu schließen?
      Mal ganz im Ernst, wenn du so wenig davon versteht, dann verwende wenigsten nen fertiges Updateframework. Außerdem ist der Name des Programms und die Umsetzung des Updates pure Ironie.


      Opensource Audio-Bibliothek auf github: KLICK, im Showroom oder auf NuGet.

      Andy16823 schrieb:

      es werden nur Packete heruntergeladen die auf dem Gleichem Webspace liegen wo auch das Update Verzeichniss Liegt.

      Zeigt immerhin einen guten Willen. Das ist aber immer noch mit Sicherheitslücken behaftet. Was machst du, wenn ich dir beim Runterladen der EXE selbige manipuliere? Mach ein anständiges Paketformat, das signiert ist. Oder du nimmst was Fertiges wie zum Beispiel updatesystem.net.

      Nein, signieren kannst du mit PHP, aber das ist ne Nummer zu groß für dich. Die Gefahr, dass das passiert ist aber sehr klein, wenn du nicht grade so schlau bist und jmd in dein WLAN lässt, der dir die .exe austauscht bzw. dir einen Virus einzufangen.

      Wenn du trotzdem sicher sein willst, nimmt Updatesystem.NET.
      #define for for(int z=0;z<2;++z)for // Have fun!
      Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

      Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

      SeriTools schrieb:

      Das "Design" sieht immer noch gammlig aus.
      Das Design wird noch Überarbeitet. Ich fragte ja nur ob es besser ist als das Alte

      Ich könnte es so machen das in das Paket eine md5 in eine Textdatei geschrieben wird und diese Anschlißend in dem Update Überprüft wird. Aber die Wahrscheinlichleit ist eben wie Trade sagt gering, da ich auch kein Wlan habe. Nur einen UMTS Stick

      @Andy16823: Na ja. Das habe ich in meine Lib auch eingebaut, aber das ist keine Signierung, sondern eher ne Überprüfung, ob das Updatepaket korrupt ist.
      #define for for(int z=0;z<2;++z)for // Have fun!
      Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

      Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

      Version 2

      Offizieler Releas der Version 2 im Metro Design. Im Anhang sind Bilder zu Finden. Die Version 2 Kann als Update Heruntergeladen werden von unserem Downloadserver. Desweiteren wurde beim Download Manager 2 Neue Sicherheitsüberprüfungen eingebaut. Es wird

      1. Eine Überprüfung durchgeführt ob das Packet auf dem Download Server Liegt.
      2. Eine Hash Überprüfung.
      Bilder

      • Main.JPG

        55,35 kB, 869×552, 70 mal angesehen

      • DatenSichern.JPG

        40,35 kB, 683×442, 54 mal angesehen

      • Wiederherstellen.JPG

        35,27 kB, 702×470, 67 mal angesehen

      Andy16823 schrieb:

      Genau ;) das wollte ich da noch einbauen nur wenn jemand das ganze Kompilliert seht er ja auch den md5 hash


      Ist das Opensource oder warum sollte das jemand kompilieren? Du meinst wohl dekompilieren. Ich hab nichts persönlich gegen dich, aber bitte lass dir mal Zeit beim Schreiben von Beiträgen. Die nimmt dir niemand weg. ;)

      Übrigens, wieso willst du den Hash in den Quellcode packen? Leg in online auf dem Server in einer Textdatei ab, denn du musst den ja jederzeit flexibel ändern können und vergleich ihn dann mit dem vom Archiv. Wenn er gleich ist, stimmt das Updatepaket, ist er falsch ist es korrupt.

      Die Idee finde ich ehrlich gesagt sogar ziemlich gut, nur die Umsetzung ist halt nicht gut.
      #define for for(int z=0;z<2;++z)for // Have fun!
      Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

      Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

      @Trade


      Ich habe das Management Studio und auch die Klasse Übearbeitet. Der eigene Key kann man sich jederzeit Abrufen im Management Studio. Dieser wird beim Einrichten des Update System-es in der Registry abgelegt.

      In der Klasse habe ich die Funktion umgestaltet :

      VB.NET-Quellcode

      1. FreeSoft_Online_Updater.FreesoftUpdater.CheckForUpdate(Version:=,ServerAdress:=,SoftwareID:=,SecureHash:=)


      Also kann jeder der das Update System nutzt seinen Key für die Software Online Hinterlegen und als Variable in den SecureHash:= packen.

      Registry? Sofort das Programm löschen. Ich möchte auf keinen Fall, dass meine Registry wegen sowas irreparabel geschädigt wird. Das gehört nicht in die Registry!

      BITTE BITTE NICHT!

      Zum Updater: Mach es doch so: Der Hash wird in ner Textdatei aufm Server hinterlegt und dann mit nem WebClient ausgelesen. Dann wird das Updatepaket geladen und davon der Hash ermittelt, also vom Archiv. Dann vergleichst du die beiden. Der Sinn ist ja nicht nen eigenen Hash irgendwie zu hinterlegen (das macht ja keinen Sinn), sondern zu prüfen, ob das das richtige Updatepaket ist.
      #define for for(int z=0;z<2;++z)for // Have fun!
      Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

      Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

      nee die Registry wird nur ein eintrag hinterlegt

      VB.NET-Quellcode

      1. my.computer.registry.setValue("HKEY_LOCAL_MACHINE\SOFTWARE\Freesoft Update System","Hash","022dafdfafaf00fw")


      also nichts großes.

      @Trade außerdem wird nur der eintrag des Managment Studios das ich noch nicht veröffentlicht habe in der Registry hinterlegt, nicht von One Click Secure. :D 8-)

      In der Update Klasse wird mit

      VB.NET-Quellcode

      1. if refhash = basehash then
      2. 'hier der code wenn der hash übereinstimmt
      3. else
      4. msgbox("Update Korrupt")
      5. exit sub
      6. end if


      überprüft ob der hash stimmt.

      Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von „Andy16823“ ()

    Facebook
    Telefonspende