#definefor for(int z=0;z<2;++z)for // Have fun!
Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose!
Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da
Arrgs!
Ihr redet hier über eine Integritätsprüfung! Damit kann man lediglich feststellen, ob beim Download was schiefgegangen ist.
Damit kann man nicht feststellen, ob jemand die Verbindung geknackt hat und gerade die Dateien tauscht.
Wenn ich z.B. das Passwort deines Webspaces geklaut habe, kann ich auch die korrekte MD5-Prüfsumme meines bösen Virus hochladen.
Was du bräuchtest wäre eine Signierung deiner Update-Pakete. Das ist eine Sache, welche nicht mal eben gemacht werden kann. Nimm doch einfach das fertige UpdateSystem.net, dann hast du auch keine Probleme mit so etwas.
@Manawyrm: Das wollte ich ihm in Post #34 auch klar machen.
Ist denn die Chance wirklich so hoch, dass jemand ein Passwort stehlen kann?
#definefor for(int z=0;z<2;++z)for // Have fun!
Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose!
Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da
@Trade ich denke nicht wenn man niemanden in sein Wlan lässt oder hot-Spotz benutzt.
Darum gehts nicht
Setzen 6. Bitte nochmal den Text lesen, den ich verlinkt habe.
Es geht nicht darum, dass DU (der Programmierer) mit dem bösen im WLAN sitzt, es geht drum, dass der Nutzer im WLAN mit dem Bösen sitzt.
wer hackt aber eine Freeware Software von einem "Hobby Programmierer" Adobe ist ja ein "Bischen Größer" als ich. Außerdem werden die Packete ja überprüft. einmal ob es von dem Update Server Stammt und ddas zweite mal ob der Hash korrekt ist.
Bitte, mach doch was du willst.
Lohnt sich auch, wenn es ca. 20 Leute benutzen Wenn es zb. ein Virus ist der sich selbst verbreitet.
Bitte was wolltest du damit jetzt sagen, @TheVBNoob:?
#definefor for(int z=0;z<2;++z)for // Have fun!
Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose!
Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da
Ernsthaft, wenn hacker deine Daten wollen bekommen sie diese, egal was du machst
Schlosser können deine Wohnungstür auch aufbrechen, du schließt sie aber trotzdem ab. Nur weil es vielleicht manchen Hackern möglich ist etwas zu knacken, heißt das ja nicht, dass du es jetzt gar nicht mehr sichern musst. Da hat @Manawyrm: schon recht. 100% wird es auch niemals geben. Das gibt es aber nirgends.
Wer versichert mir, dass das Flugzeug in dem ich sitze nicht abstürzt? Wer versichert mir, dass die Ampel gleich wenn ich über die Straße gehe nicht zu früh umspringt? Das Restrisiko bleibt immer.
Aber gerade in der Verschlüsselungstechnik können wir so kleine Wahrscheinlichkeiten erzeugen, die wir uns gar nicht vorstellen können.
@Topic Ich find das Ding eigentlich nicht schlecht. Aber vielleicht könnte man das ganze etwas "sauberer" gestallten.
Korrekt.
Es ist aber problemlos möglich ein Computersystem so zu betreiben und warten, dass Angriffe für einen Angreifer fast unmöglich sind.
99%ige Sicherheit gibt es. Ohne 0day-Exploits und ähnliche Dinge kommt man z.B. bei unseren Systemen nicht weiter.
Trotzdem ist der Updater in dieser Software eine Sicherheitsgefahr und gefährdet den Benutzer auf die schlimmste Art und Weise stark.
Wenn ich's wirklich drauf anlegen würde, könnte ich z.B. die Domain hijacken. Hat man gerade erst wieder bei der Nummer mit dem Ein-Buchstabigen Twitter-Nutzernamen gesehen. Oder wie wärs wenn ich einfach die IP-Adresse des Webservers als /32 im Internet annouciere und von meinem Server aus ausliefere?
Viele Grüße,
Manawyrm
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Manawyrm“ ()
Ich sage ja nicht, das man fahrlässig sein soll. Nur man kann es nie ausschließen dass es passiert.
Ihr sucht Webspace für eure Projekte? Dann sagt bescheid - kostenfrei und ohne Werbung!
Das ist uns allen hinreichend bekannt.
Diese Software ist allerdings mehr als grob-fahrlässig!
Ob man es glaubt oder nicht. Ein Großteil der Firmen hier in Deutschland sind mangelhaft sicher in ihrer IT.
Ich denke der Programmierer kann hier bestimmt noch nach bessern.
Ihr sucht Webspace für eure Projekte? Dann sagt bescheid - kostenfrei und ohne Werbung!
Natürlich ist die IT in deutschen Firmen völlig im Arsch. Darum ging es hier aber gar nicht.
Ich wollte es nur gesagt haben.
Ich beobachte hier mal die Entwicklung weiter. Das Programm hat Mehrwert wenn er weiter daran arbeitet und ausbessert wird.
Ihr sucht Webspace für eure Projekte? Dann sagt bescheid - kostenfrei und ohne Werbung!
Hy, das Update System habe ich verbessert, werde es mit dem nächsten Update bereitstellen, das neue System ist auch sicher. Das müsste aber @Manawyrm: wissen.
Um es nochmal aufzugreifen, bei richtiger Implementierung einer Signierung mit guter Schlüsselgröße (am Besten 4096bit) ist das Teil unknackbar, @chenjung:.
Eine Signierung ist notwendig und schützt auch vor jenen Attacken. Ein RsaCryptoServiceProvider kann da gut aushelfen. Das Kryptosystem ist halt asymmetrisch mit zwei Keys. Hierbei würde deshalb auch kein Austausch helfen.
#definefor for(int z=0;z<2;++z)for // Have fun!
Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose!
Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da