Schutz vor Decompilung

Wenns nur darum geht, das ganze vor Laien zu schützen dann lass 2-3 mal eine Verschlüsselung darüberlaufen. Die Verschlüsselung implementierst du als anonyme Methode, dann wird das ganze schon ziemlich unleserlich beim dekompilieren...

Aber das ist halt nur ne Schein-Sicherheit und hilft nur gegen Computer-Laien..

BiedermannS schrieb:

Also das ist ja mal was neues, dass das abhören der Daten irrelevant ist.

Was bringt es, alles zu schützen und dann ungesichert zu übertragen.

Wenn ich im Browser Surfe, mich auf einer HP einlogge, im Adminbereich und sonst was dort mache könnte jeder die Kommunikation abhören und alles sehen was ich auch sehe. Da es beim Browsen gang und gebe ist das alles im Klartext übertragen wird halte ich das für eine Programm -> Server Kommunikation genauso.
Es geht lediglich darum Fremdzugriffe einzudämmen, das sie nicht die Berechtigungen haben Schaden an der DB oder den Dateien anzurichten, deswegen ist PHP Sicherer als externe SQL Datenbank oder FTP, selbst ein schlecht geschriebenes PHP Script wäre schonmal sicherer, weils schon eine gewisses Klientel ausschließt. Damit hat man schonmal was gewonnen.

Natürlich kann man eine Server Application entwickeln, mit welcher das Programm kommuniziert und das wäre wohl mit unter die sicherste Methode, aber wo willst du als normal Hobby Programmierer das ausführen? Root Server haben nicht alle und dann wohl noch mit Windows damit .NET funktioniert.

Deswegen muss eine allgemeine Lösung her die fast jeder umsetzten kann und das ist nunmal PHP. Wenn eine bessere Lösung kennst, immer her damit

PS: um nicht gänzlich ins OT abzuwandern @Leonalter: selbst Verschlüsselte Daten im Programm bringen absolut nichts, wenn man das Programm decompilieren kann, kommt man auch an den entschlüsselungs Algorithmus und kann somit die verschlüsselten Daten im Programm ebenfalls wieder auslesen. Login Daten haben im Programm einfach nichtss verloren.

So ziemlich jede halbwegs anständig Programmierte Seite bietet die Funktion ganze Seiten bzw. den Adminbereich mit SSL zu schützen und wer das nicht macht, ist selber Schuld.

Aber nur weil (ohne die entsprechende Konfiguration) die meisten Dinge Out-Of-The-Box einfach unsicher sind, ist das noch lange kein Grund zu sagen dass man es allgemein vernachlässigen kann, weil dann hat man als guter Programmierer bzw. Administrator teilweise in seinem Arbeitsbereich versagt. Diese Dinge sind einfach essentiell für eine sichere Übertragung von Daten.

Und selbst wenn man PHP verwendet, ist dies nicht gleich automatisch "sicher", was ich aber bereits mehrmals gesagt habe.

Das mit dem mehrfachverschlüsseln mittels anonymer Methoden macht diesbezüglich am meisten Sinn, weil selbst wenn die Arbeiter es schaffen den Dekompiler zu starten, können Sie trotzdem nicht nachvollziehen woher das Passwort kommt.


Wenns nur eine Firmeninterne Anwendung ist, welche evtl. nur im LAN betrieben wird, währe zu überlegen ob man das ganze evtl auf MSSQL mit Integrierter Sicherheit umzustellen (falls möglich) oder ein ähnliches Plugin für MySQL zu suchen, da dann die Authentifizierung über den Windows-/Domainuser erfolgt und somit brauch ich gar nichts in dem Programm speichern.


Und hier nochmal: Ich habe nicht behauptet PHP wäre eine schlechte Lösung. Ich sage nur, dass man nur mit PHP selbst die Sicherheit nicht im wirklich steigert, sondern nur den Zugriff etwas eindämmt. Also ist dass in keinem Fall eine allgemeine Lösung, allenfalls eine leichte Lösung. Aber wie du sicher weißt, bedeutet leicht nicht immer gut.

Weil wenn die Mitarbeiter so schlau sind, das Programm zu dekompilieren, dann schaffen diese auch falsche/ungültige Daten an das PHP-Script zu senden, welches dieses im schlechtesten Fall in den Datenbestand mit aufnimmt und somit die falschen Daten nachher weiterverarbeitet werden, was unweigerlich zu Problemen führt.

Nur als Beispiel: Bei der Firma handelt es sich um eine Speditionsfirma. Wenn nun diese Datenbank für Aufträge genutzt wird und jemand falsche Daten hinsendet, kann es vorkommen das ein LKW zu einer falschen Adresse fährt, weil dieser denkt er muss was abholen und das ist wohl eher kontraproduktiv.

Sieh dir mal bei Wikipedia (Wiki Informationssicherheit) die Definition der Schutzziele an.