Ankündigung

Einklappen
Keine Ankündigung bisher.

Cs Administrator (Browser/Gameoverlay)

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    #31
    slayer postete
    darthmatch postete
    @Ja. Wer leiber Hlsw nutzt kann das doch gerne machen. Da sehe ich kein Problem.

    @vERSAILLES Super idee hab ich noch garnicht bedacht. Kann ich später durchaus einbinden.


    @Rest :D
    Die Rcons würden verschlüsselt in der Datenbank gespeichert. Eine Entschlüsselung ist mithilfe des Scripts schon möglich. Das ist mir auch bewusst und da verstehe ich durchaus den Rückhalt. Die Rcon Klasse braucht das Passwort halt im klartext, da liegt das Problem bei Cs nicht bei mir :D. Das kann ich leider nicht vermeiden. Das einzige was eine Verschlüsselung in der Db ist, dass wenn jemand in die Datenbank einbricht, er nicht die Rcons hat. Für einen hartnäckigen Hacker wäre das aber auch nur ein Hindernis. Deswegen baue ich mein Script direkt sehr sicherheitsspezifisch auf.

    //Edit
    Finds toll das hier so viele Leute interesse zeigen :)
    Wie genau willst du die Dinger denn verschlüsseln?
    Du musst ja irgendwo dann das passende PW zum entschlüsseln bereitstellen und das ist die Achillesferse (imo).
    als key könnte man das pw nehmen, mit dem man sich einloggt.

    Kommentar


      #32
      @slayer
      Ja das sage ich ja bereits. Die Verschlüsselung dient nur dazu das die Rcon Passwörter nicht nutzbar sind wenn man sich Zugang zu der Datenbank beschafft. Man braucht dann für die Rcon Passwörter auch zugriff auf das Script.

      Kommentar


        #33
        Das hab ich ja auf der ersten Seite vorgeschlagen :)

        Kommentar


          #34
          @juRiii
          Das wäre kein kompletter Schutz. Mit ein wenig verstand könnte man dann trotzdem an die Rcons mit dem Userpw drankommen.

          Kommentar


            #35
            sichere verschlüsselung wird es eh nie im internet geben? und wenn jemand diese datenbank missbrauchen wollte, dann könnte der serverbesitzer eh im webinterface von dem jeweiligen serveranbieter das rcon ändern

            Kommentar


              #36
              darthmatch postete
              @juRiii
              Das wäre kein kompletter Schutz. Mit ein wenig verstand könnte man dann trotzdem an die Rcons mit dem Userpw drankommen.
              ist ja klar, die user müssten halt schlau genug sein, ein besseres pw zu nehmen. mit twofish würds schon klar gehn, or n0t?

              Kommentar


                #37
                Du sprichst hier von einem Eindringen in die Datenbank druch eine Lücke im Datenbankserver. Wer das schafft wird sich mit sowas wie meinem Script wohl nicht beschäftigen. Ein eindringen Anhand einer Lücke in meinem Script wäre wahrscheinlicher. Auch wenn ich mir mühe gebe kann mir durchaus mal ein Fehler unterlaufen.

                @juRiii
                Es geht hier eig nicht um die Verschlüsselungsmethode. Der Sinn einer Verschlüsselung (nicht Hash!) leigt darin druch die Trennung von Key und Verschlüsselten Daten ein möglichst hohes Maß an Sicherheit zu gelanden. Und das versuche ich durch Trennung von Key (Script) und Daten (Datenbank).

                Kommentar


                  #38
                  darthmatch postete
                  @juRiii
                  Das wäre kein kompletter Schutz. Mit ein wenig verstand könnte man dann trotzdem an die Rcons mit dem Userpw drankommen.
                  Nämlich wie? Ich wüsste gerne wo mein Denkfehler ist :)
                  Wenn das PW nur als Hash gespeichert ist und beim Login überprüft wird und einmalig zum decrypten genutzt wird?

                  Kommentar


                    #39
                    wenn du das pw in der db als md5 wert hinterlegst und nach dem einloggen des user das passwort im klartext kennst, kannst du die twofish methode anwenden. vorraussetzung wäre, der angreiffer kann das userpw nicht cracken. done.

                    Kommentar


                      #40
                      Dein Denkfehler liegt darin das der Hash laut definition nicht! entschlüsselt werden kann. Das ist zwar immer möglich aber mit einem aufwand verbunden. Deshalb ist mit dem passenden Schlüssel (Key) der sich im Script befindet immer eine entschlüsselung der Verschlüsselten Daten möglich.

                      Kommentar


                        #41
                        darthmatch postete
                        Dein Denkfehler liegt darin das der Hash laut definition nicht! entschlüsselt werden kann. Das ist zwar immer möglich aber mit einem aufwand verbunden. Deshalb ist mit dem passenden Schlüssel (Key) der sich im Script befindet immer eine entschlüsselung der Verschlüsselten Daten möglich.
                        das passwort wäre aber nicht im script hinterlegt, sondern vom benutzer selbst eingegeben, checkst?

                        Kommentar


                          #42
                          @juRiii
                          Das ist mir klar. Aber das Userpw wird auch immer crackbar sein. Weil ich kaum eine andere wahl als md5 habe. Und das ist entschlüsselbar. Ein viel größeres Problem ist. Wer Zugriff auf das Script hat kann das Userpw beim eingeben einfach im Klartext speichern. Deshalb bietet diese Methode keinen wahren Vorteil. Oder ich seh ihn gerade nicht :)

                          Kommentar


                            #43
                            darthmatch postete
                            @juRiii
                            Das ist mir klar. Aber das Userpw wird auch immer crackbar sein. Weil ich kaum eine andere wahl als md5 habe. Und das ist entschlüsselbar. Ein viel größeres Problem ist. Wer Zugriff auf das Script hat kann das Userpw beim eingeben einfach im Klartext speichern. Deshalb bietet diese Methode keinen wahren Vorteil. Oder ich seh ihn gerade nicht :)
                            md5 ist nicht entschlüsselbar :) wenn, dann nur crackbar. bei einem gut gewähltem pw (damit meine ich nicht ein pw mit 8 zeichen und buchstaben + zahlen), würde es ziemlich lange dauern, es zu cracken

                            @edit: btw. "md5(md5(BASE64(md5(password)))) & 1337"

                            Kommentar


                              #44
                              ich meinte crackbar :). Es gibt mittlerweile immer mehr und auch bessere md5 Datenbank und kostenlose Seiten die einen md5 hash cracken. Aber das größte Problem ist immernoch, dass der Nutzer ja sein Pw eingibt damit sind alle Sicherheitsmaßnahmen sogut wie unbrauchbar. Ich finde den Ansatz aber ansich ganz gut. Wenn ich zeit habe kann ich ihn durchaus auch einbauen. Leider ist er aber auch relativ aufwendig (Schreib+Rechenmäßig).

                              Kommentar


                                #45
                                "Wer Zugriff auf das Script hat..."

                                Na klar, wenn der Programmierer das Script ändert, sodass er immer eine Mail mit jedem Login geschickt bekommt, dann bringt die beste Verschlüsselung nichts.
                                Dieses Problem besteht aber immer und kann auch nicht vollständig behoben werden.
                                Die einzige Möglichkeit ist es nur einem möglichst kleinen Kreis vollständigen Zugriff auf die Dateien zu gewähren.

                                Kommentar

                                Lädt...
                                X