One Click Secure

Pustekuchen. Sowas kommt nicht in die Registry!

Arrgs!

Ihr redet hier über eine Integritätsprüfung! Damit kann man lediglich feststellen, ob beim Download was schiefgegangen ist.
Damit kann man nicht feststellen, ob jemand die Verbindung geknackt hat und gerade die Dateien tauscht.

Wenn ich z.B. das Passwort deines Webspaces geklaut habe, kann ich auch die korrekte MD5-Prüfsumme meines bösen Virus hochladen.

Was du bräuchtest wäre eine Signierung deiner Update-Pakete. Das ist eine Sache, welche nicht mal eben gemacht werden kann. Nimm doch einfach das fertige UpdateSystem.net, dann hast du auch keine Probleme mit so etwas.

@Manawyrm: Das wollte ich ihm in Post #34 auch klar machen.
Ist denn die Chance wirklich so hoch, dass jemand ein Passwort stehlen kann?

Darum gehts nicht

Setzen 6. Bitte nochmal den Text lesen, den ich verlinkt habe.
Es geht nicht darum, dass DU (der Programmierer) mit dem bösen im WLAN sitzt, es geht drum, dass der Nutzer im WLAN mit dem Bösen sitzt.

Bitte, mach doch was du willst.

Lohnt sich auch, wenn es ca. 20 Leute benutzen Wenn es zb. ein Virus ist der sich selbst verbreitet.

Bitte was wolltest du damit jetzt sagen, @TheVBNoob:?

Andy16823 schrieb:

wer hackt aber eine Freeware Software von einem "Hobby Programmierer" Adobe ist ja ein "Bischen Größer" als ich.

.... Er denkt er währe Sicher vor Hackern, weil er nicht groß genug währe, und somit für Hacker uninteressant... Stimmt aber nicht.

Achso, jo, hatte den Post nicht in dem Zusammenhang verstanden.

chenjung schrieb:

Ernsthaft, wenn hacker deine Daten wollen bekommen sie diese, egal was du machst

Schlosser können deine Wohnungstür auch aufbrechen, du schließt sie aber trotzdem ab. Nur weil es vielleicht manchen Hackern möglich ist etwas zu knacken, heißt das ja nicht, dass du es jetzt gar nicht mehr sichern musst. Da hat @Manawyrm: schon recht. 100% wird es auch niemals geben. Das gibt es aber nirgends.
Wer versichert mir, dass das Flugzeug in dem ich sitze nicht abstürzt? Wer versichert mir, dass die Ampel gleich wenn ich über die Straße gehe nicht zu früh umspringt? Das Restrisiko bleibt immer.
Aber gerade in der Verschlüsselungstechnik können wir so kleine Wahrscheinlichkeiten erzeugen, die wir uns gar nicht vorstellen können.

@Topic Ich find das Ding eigentlich nicht schlecht. Aber vielleicht könnte man das ganze etwas "sauberer" gestallten.

Korrekt.

Es ist aber problemlos möglich ein Computersystem so zu betreiben und warten, dass Angriffe für einen Angreifer fast unmöglich sind.
99%ige Sicherheit gibt es. Ohne 0day-Exploits und ähnliche Dinge kommt man z.B. bei unseren Systemen nicht weiter.

Trotzdem ist der Updater in dieser Software eine Sicherheitsgefahr und gefährdet den Benutzer auf die schlimmste Art und Weise stark.
Wenn ich's wirklich drauf anlegen würde, könnte ich z.B. die Domain hijacken. Hat man gerade erst wieder bei der Nummer mit dem Ein-Buchstabigen Twitter-Nutzernamen gesehen. Oder wie wärs wenn ich einfach die IP-Adresse des Webservers als /32 im Internet annouciere und von meinem Server aus ausliefere?

Viele Grüße,
Manawyrm

Ich sage ja nicht, das man fahrlässig sein soll. Nur man kann es nie ausschließen dass es passiert.

Das ist uns allen hinreichend bekannt.

Diese Software ist allerdings mehr als grob-fahrlässig!

Ob man es glaubt oder nicht. Ein Großteil der Firmen hier in Deutschland sind mangelhaft sicher in ihrer IT.

Ich denke der Programmierer kann hier bestimmt noch nach bessern.

Natürlich ist die IT in deutschen Firmen völlig im Arsch. Darum ging es hier aber gar nicht.

Ich wollte es nur gesagt haben.

Ich beobachte hier mal die Entwicklung weiter. Das Programm hat Mehrwert wenn er weiter daran arbeitet und ausbessert wird.

Um es nochmal aufzugreifen, bei richtiger Implementierung einer Signierung mit guter Schlüsselgröße (am Besten 4096bit) ist das Teil unknackbar, @chenjung:.

Eine Signierung ist notwendig und schützt auch vor jenen Attacken. Ein RsaCryptoServiceProvider kann da gut aushelfen. Das Kryptosystem ist halt asymmetrisch mit zwei Keys. Hierbei würde deshalb auch kein Austausch helfen.