[sparrow]

Folgendes Problem...

angenommen ich schreibe ein Progi das mit einer Datenbank im Internet kommunizieren soll.
Soweit kein Problem die Verbindung herzustellen.

Aber... es soll natürlich nicht jeder User vollen Zugriff haben.

Jetzt gibt es für mich 2 Möglichkeiten:
1. Das Programm regelt den Zugriff selbst
2. ich lege Benutzer in der Datenbank an und sorge daür, dass nicht jeder Benutzer der Datenbank alles kann.

Angenommen ich habe jetzt in der Datenbank eine Tabelle die Benutzer und Passwort speichert.
Irgendwann muß das Proggi ja mit dem Server kommunizieren, richtig?
Irgendwann muß geprüft werden ob der Benutzer vorhanden ist, der sich da anmelden möchte.
So, um mit der Datenbank zu kommunizieren muß sich das Proggi (logischerweise) an der Datenbank mit Passwort und Benutzer anmelden.
Dieser Programm muß an irgend einer Stelle vollen Zugrill auf die Tabelle mit den Usern haben. Ein Benutzer kann sich nämlich neu anmelden (schreiben), löschen und natürlich festgestellt werden ob er da ist (lesen).

Wemm ich das jetzt im Java-Proggi drin habe, wie die Kommunjkation aufgebaut und freigegeben wird, dann kann ja jemand daher kommen, das Proggi decompiliren, sich gemütlich die Schnittstelle der Datenbank anschauen und erstmal die Tabelle mit den Usern platt machen.

Habe ich da jetzt was falsch verstanden? Oder könnte es auch anders gehen?

Habe mit Datenbanken noch nicht soooo die Erfahrung

Gruß
Sparrow

[nove]

normalerweise hat ja die Datenbank ne User Tabelle darin regelst du den Zugriff. Ich habe dieses Problem z.B. so gelöst:

Die Benutzerdaten d.h. Benutzernamen und Passwort kennst ja eigentlich nur du, der Benutzer und das User-Table in der Datenbank.

eine einfache Version wäre es beim Installieren oder ersten Ausführen des Programmes den Benutzer dazu auffordern sein Benutzername und Passwort einzugeben und diese in eine Datei namens config.properties zu Speichern. Es gibt in der JAVA API sowas wie Properties (http://java.sun.com/j2se/1.5.0/docs/...roperties.html), damit kannst Du eine Properties Datei anlegen und auch auslesen.

Somit musst du den Benutzernamen und Passwort nicht hardcoden.

Ein weiterer Schritt wäre das Passwort in der Properties Datei noch zu verschlüsseln.

[sparrow]

Ja ok,
natürlich kann ich das Passwort irgendwo speichern.
Allerdings muß ich doch die Datenbank irgendwann konnektieren, und dafür brauche ich doch einen Benutzernamen und ein Passwort.
Zumindest ist das bei der HSQLDB-lokalen-Datenbank so mit der ich im Moment rumspiele, und von Internetdatenbanken kenne ich das auch nicht anders.

Und um diesen Benutzer/Passwort für die Datenbank geht es ja...
nicht um den Benutzer im Programm selbst, den ich ja mit dem Proggi steuere und ihm seine Rechte zugestehe...

Aber irgendwo muß ich dem Proggi doch die Anmeldungsdaten für die Datenbank mitgeben... Regelst du dabei den Zugriff? Verschiedene User für dei Datenbank die unterschiedlichen Zugriff auf die verschiedenen Tabellen haben?
Das funktioniert aber auch nicht, glaube ich, denn in den meisten Datenbanken kannst du nur als Administrator neue User anlegen... da muß dann wieder ne Connection als solcher aufgebaut werden, und damit stehen die Daten im Programm...

Hmmm... ich hoffe ich bringe mein Problem einigermaßen rüber...


Gruß
Sparrow

[nove]

mir ist dein Problem schon klar. Aber wie gesagt du legts den Benutzer als Admin in deiner Datenbank an und Dein Prog liest dann bei jedem start die Benutzerdaten aus einer Properties Datei. Natürlich musst du das erste mal wenn sich dein Benutzer anmelden will die Benutzerdaten durch einen Dialog abfragen und diese dann in die Properties Datei schreiben und beim nächsten Start des Programmes ist dann eine Neueingabe der Daten überflüssig.

[sparrow]

Hmm... irgendwie macht mich das alles noch nicht glücklich...
Es muß doch ein sicheres Workaround geben.

Ich bin bisher schon verschiedenen Möglichkeiten nachgegangen scheitere aber leider immer...

Nehmen wir folgendes Problem an:
Als Programm schreiben wir ein Schachspiel, dass als eigene Applikation (nicht Applet) angelegt ist.
Das besondere an diesem Schachspiel: Man spielt es gegeneinander über das Netz.
Da das ganze eh gerade ausgedacht wurde, läuft das Spiel über eine SQL Datenbank in der das Spiel gespeichert wird, damit man nicht immer gleichzeitig online sein muß, und Stundenlang über seinen nächsten Zug sinieren kann.

So, da ist also eine Datenbank, nehmen wir an HSQLDB im Server-Modus, irgendwo auf einem Server im Internet.
In dieser Datenbank befindet sich die Tabelle "Benutzer" und "Spiele".

Wichtig für uns ist erstmal die Tabelle Benutzer, sie enthällt folgende Spalten:
ID (Index) | name | pass
Der Sinn der Spalten ist klar.

Die Applikation soll jetzt eine Verbindung zu der Datenbank aufbauen und anhand der Tabelle "Benutzer" name und passwort prüfen

Problem:
Wenn ich die Datenbank konnektieren muß ich Benutzernamen und Passwort für die DATENBANK mitgeben (also unabhängig von der Tabelle Benutzer).
Was tue ich, damit durch decompilieren des Programms der Benutzer und das Passwort für die Datenbank nicht ermittelt werden können?

Workaround von nove (Proberties-Datei) funktioniert so leider nicht.
Zwar kann ich die Daten darin speichern lassen, aber dazu muß ich sie irgendwann vom Benutzer eingeben lassen, oder bei jeder Installation des Programms dabei sein.
Da es aber ein freies Spiel seien soll, das sich jeder ausm netz saugen kann, klappt das wohl eher nicht...

Hat jemand andere Vorschläge, die einem decompilieren des standhalten können?


Ich danke im Voraus!


Gruß
Sparrow


PS: Es handelt sich hier um ein theoretisches Szenario, da mich das Problem in den letzten Tagen verfolgt hat

[Ben]

ähm. moment.

ich muss gerade mal nachhaken .. spiele ich das game online oder nicht?
also lade ich mir das immer erst runter, um es dann zu spielen oder lade ich es mir einmal runter, um es dann zu spielen und bei jedem aufruf, wird mit der online-DB connectet?

danke für die info.

PS:
ich bin nicht wirklich der java-profi, somit nehmt nicht an, dass ich hier fortgeschrittene antworten geben kann

[ehli75]

Also ich hätte da eine Idee:

Lass auf dem Rechner, wo die Datanbank drauf läuft noch ein Serverprogramm laufen. Die DB ist dann nur noch über diese Schnittstelle ereichbar. Der Sinn des ganzen liegt darin, dass du nun die Passwörter verschlüsselt in der DB ablegen kannst. Dazu nimmst du eine einwegverschlüsselung (z.B. MD5). Wenn sich nun einer anmelden tut, übergibt er/sie username und passwort an das Serverprogramm. Dieses verschlüsselt das Passwort und schaut in der DB ob beim usernamen xy der selbe Wert drin steht. Wenn ja - Zugriff gewährt - wenn nicht - Zugriff verweigert. Der Vorteil ... KEINER (nicht mal der Admin der DB oder sonst wer) kann aus dem in der DB abgelegten verschlüsselten Wert das original-Passwort wieder herstellen.
Bleibt nun noch die Frage, wie das Server-Programm auf die DB zugreift ... mhh ... ja ... die Zugriffsdaten müssen irgendwo in ner Datei oder hart codiert liegen ... da kommst du nicht drum herum. Wenn du Angst vor decompilierung hast ... musst du das Ganze in C/C++ schreiben und dann über Sockets, CORBA oder nativ Interface mit deinem Java-Klient kommunizieren. Dann allerdings geht ess nicht mehr mit der HSQLDB ... da brauchst du dann was "richtiges" ... postgreSQL, MySQL ... usw.

Michael

PS: Wenn du mit HSQLDB arbeitest brauchst du dir wegen der Sicherheit keine Gedanken machen. Schau dir mal die DB-Skripte an ... da steht ALLES im Klartext drin !!!!! Da brauchst du dir keien Gedanken über Verschlüsselung o.ä. machen ... da muss erstmal der Rechner sicher sein !

[sparrow]

@Ben
Man connected sich jedesmal neu um die aktuellen Daten der Tabelle abzurufen

@ehli75
Selst C/C++ Programme kann man decompilieren... und bei EXE-Dateien kann man sich sogar aussuchen in welcher Programmiersprache der Quellcode zur Verfügung stehen soll...
Jedenfalls habe ich das schon mal miterlebt... von daher bin ich vorsichtig.
Ich weiß auch das HSQLDB nicht sicher ist, aber es ist hier allgemein bekannt, und man muß (ebens wie bei anderen Datenbanken) Benutzernamen und Passwort mitgeben wenn man sich an der Datenbank anmelden möchte.
Das mit der Schnittstelle ist mir auch schon in den Sinn gekommen... ist doch aber super umständlich. Ich könnte da ja ein Proggi laufen lassen, das via Netzwerk-Konnektion den SQL Befehl zugetragen bekommt und diesen dann auf die Datenbank anwendet... aber die SQL-Befehle wiederrum liegen in dem Client-Programm, darin die Tabellennamen. Es dürfte für jemanden der Schaden anrichten will also kein Problem sein seinerseits an dieses Programm eine DELETE anweisung für die Tabellen zu senden.
Andere Möglichkeit, es werden nur Variablen geschickt, und der Tabellenname verschlüßelt... aber für jemanden der es darauf anlegt die Datenbank anzugreifen dürften auch die verschlüsselten Tabellennamen nicht ewig lange ein Hindenis sein...

Ich merke aber das mein Beispiel etwas verwirrend war, deshalb hier ein einfacheres Beispiel, definiert als Aufgabenstellung:

Aufgabe:
Connecte aus einem Java-Programm (kein Applet sondern ein eigenständiges Programm) eine SQL Datenbank im Internet.
1. Lade den Treiber
2. Stelle die Konnektion her
3. Schicke eine SQLQuery zum Server und lass eine Tabelle "Test" anlegen, mit den Feldern Test1(Char) Test2(int)
Problemstellung:
Zum konnektieren der Datenbank (Punkt 2) muß (mir ist es nicht anders bekannt) eine Benutzername und ein Passwort übertragen werden. Es darf keinen Weg geben diesen Benutzernamen und dieses Passwort herauszufinden.
Dem Benutzer dieses Programms sind diese Daten nicht bekannt, er hat also keine Möglichkeit sie selbst einzugeben...

Btw: Was passiert eigentlich mit Applets? Werden sie bei aufruf auf den Client geladen und dann erst ausgeführt (Temporary Internet Files)
Wen dem so ist, und es keinen Möglichkeit gibt das Problem oben zu umgehen sind IMO keine sicheren Datenbankprogramme mit Jave möglich... und das glaube ich eigentlich nicht.

[ehli75]

Also das man C/C++ Programme decompilieren kann ist mir neu ... aber wenn du das schon gesehen hast glaub ich dir das mal.

So wie ich das sehe, kommst du um einen extra Serverprozess nicht drumherum. Das einzigste was du ausprobieren könntest, wäre ein "richtige" DB zu nehmen (Oracle, Sybase ... ) ... so weit ich weiss, stellen die die Möglichkeit sich via SSL zu verbinden ... d.h. da kann einer im Netzwerk sniffeln so viel wie er will ... deine Anmeldedaten werden verschlüsselt übermittelt. Um das ganze kostengünstiger zu machen (z.B. mit HSQLDB) müsstest du auf dem Rechner wo die DB läuft einen Serverprozess starten (z.B. Tomcat mit einem eigenen Servlet) und machst dann in der Firewall des Rechners ALLE Ports zu ... bis auf den Port vom Tomcat (standardmäßig Port 8080). Und ich glaube auch schon mal gehört zu haben, dass man da SSL einbinden kann, so dass auch hier die Anmeldung verschlüsselt geschieht. Dadurch, dass nur noch der Tomcat-Port frei ist, kann sich kein anderer User (ausser ein lokaler User ... aber davon gehen wir jetzt mal nicht aus) mit der DB direkt verbinden kann. Und das Passwort für die DB steht dann nur noch in deinem Servlet ... das aber nicht decompiliert werden kann, da ein normaler User nicht an die class-Dateien dran kommt !

Umständlich aber SICHER !

Michael

[sparrow]

Was das decompilieren von .exe Dateien angeht, so kann man daraus wieder assembler-code machen.
Diesr kann dann nach belieben gändert und neu compiliert werden.
Und ich habe mal ein Tool gesehen, das Assembler-Code auswertet und daraus eine C-Source Datei erstellt. Keine Ahnung ob das Fehlerfrei geht, aber wenn man assembler kann, dann könnte man wohl auch da Strings rauslesen, denke ich.
Aber egal.

Aber ich find es halt seltsam wie unglaublich umständlich es ist ein sicheres Datenbank-FrontEnd mit Java zu erstellen. Dabei bildet sich die Sprache doch eigentlich dafür an...
Schade eigentlich. Ich kann doch nicht auf jedem Datenbankserver ein extra Servlet mitlaufen lassen, das dafür sorgt, dass es sicherer wird...

Wenn noch jemand ne Lösung weiß, ich würde sie gerne hören.
Danke bereits jetzt allen die bereits darüber nachgedacht haben und darüber nachdenken werden.

Wenn ich eine Lösung finde taucht sie hier natürlich auf.

Wie siehts denn bei euch aus? Habt ihr schon einmal ein Datenbank Front-End gebaut und dieses Manko irgendwie gelöst?

Beste Grüße
Sparrow

Problemstellung:
Zum Konnektieren der Datenbank (Punkt 2) muß (mir ist es nicht anders bekannt) eine Benutzername und ein Passwort übertragen werden. Es darf keinen Weg geben diesen Benutzernamen und dieses Passwort herauszufinden.
Dem Benutzer dieses Programms sind diese Daten nicht bekannt, er hat also keine Möglichkeit sie selbst einzugeben...

Also das ist praktisch unmöglich, wenn Du nicht ein eigenes Protokoll zwischen Client und Server schreiben willst und zwar aus folgenden Gründen:

Die meisten Datenbankprotokolle verschlüsseln ihre Zugriffe nicht. Sofern Du also keine speziell gesicherte Datenbank nimmst, brauche ich mich als Angreifer nur mit einem Packet-Sniffer zwichen Client und Server zu hängen und schon habe ich das Passwort.

Aber selbst wenn Du eine gesicherte Verbindung hast: Dein Programm ist nicht beliebig groß und mit einem Decompiler und/oder einem Debugger kannst Du jedes Programm gründlich auseinander nehmen. Wenn Du also im Programm irgendetwas speicherst, ist es nur eine Frage des Aufwandes, bis ein Angreifer den Usernamen und das Passwort hat.

Was bleibt Dir über:

a) Der pragmatische Ansatz: Du erschwerst die Attacke durch Verschleierung. Da gibt es mehrere Maßnahmen (Obfuscatoren, unübersichtlicher Code usw. usw.)

b) Der User bekommt ein Passwort und kann sich nur mit diesem Passwort anmelden. Das geht aber nur, wenn der User kein professioneller Angreifer ist.

Deswegen meine Frage: Wie sind die Randbedingungen genau? Sind die Angreifer wirklich so professionell oder möchtest Du Dich gegen 0815 Neugierige schützen? Inwieweit ist es sichergestellt, dass der Angreifer kein echtes Passwort hat.

Wenn Du den Fall ausschließt, dass der Angreifer über ein gültiges Passwort verfügt, kann ich Dir helfen, ggf. brauchst Du aber ein eigenes Protokoll zum Server hin.

Wie sind Deine Randbedingungenan dieser Stelle?

[sparrow]

Hallo Fuzzy,

sorry. war ein paar Tage "im Urlaub"
Da wo es kein Internet gibt.

Also auf das Problem bin ich gestoßen als ich darüber nachgedacht habe ein Online-Spiel zu proggen. Nicht ein einfaches Schach oder so, sondern schon was größeres.
Die Daten sollen (wie z. B. bei Browsergames) in einer Datenbank auf einem Internetserver liegen.
Der Internetserver hat seinerseits ein Programm laufen, dass ständig die Datenbank durchsucht und dafür sorgt, dass etwas "geschieht", quasi meine KI
Aber das ist nicht mein Problem.

Um das Game ein ansprechend zu machen möchte ich halt kein Browser-Game machen, sondern ein Spiel für das sich der Spieler ein Front-End runterladen muß.
Dort werden dann die entsprechenden Daten aus der Datenbank ggf. abgerufen, gefiltert, grafisch aufbereitet....
Das soll nach Möglichkeit in Java geschrieben sein. 1. weil ich das kann und 2. weil das dann auch auf einem Mac usw. laufen würde.

Die Datenbank zu erreichen und mit Daten zu spielen... das ist nicht das Problem.
Nur möchte ich natürlich nicht, dass irgendein Spieler der sich mit Java auskennt mal eben her geht, die .class decompiliert und mir mal eben die Datenbank platt macht, weil er daraus die Zugangsdaten für die Datenbank ablesen kann.
Selbst wenn ich die Klassen mit dem ProGuard Obfuscator kompilieren lasse wird es hinterher nicht schwer sein mal eben nach der "Connection"-Instanz zu suchen.

Das ist also das Problem aus dem dieser Thread entstanden ist.

Weiterführend habe ich mir dann natürlich überlegt wie sich dieses Problem weiter verhällt.
Ich weiß, dass es mehrere Firmen gibt die im Moment Warenwirtschaftssysteme auf den Markt bringen, die komplett in Java geschrieben sind und als Applets laufen (Übrigens DIE Idee, mal ohne Witz).
Ich weiß bisher nicht was die .class-Dateien machen wenn sie aus dem Netz geladen sind, aber ich nehme an, dass sie im "Temporary Internet Files"-Verzeichnis abgelegt werden (alles was aus dem Netz ausgeführt wird muß vorher auf der Platte landen, zumindest Temporär).
Wenn eine solche Warenwirtschaft eine Möglichkeit gäbe sich als Außenstehender in die Datenbank einzuloggen (z.B. für ein integriertes Shop-System um den Status seiner Bestellung zu sehen), würde hier die selbe Problematik auftauchen.

Das kann ich mir aber alles nicht vorstellen.
Hey, das man jede Datenbank knacken kann ist mir schon klar... wenn man genug Zeit hat z.B. auch mit der trivial-methode per Brute-Force-Attacke...
Aber so einfach wie mein Problem hier dargestellt ist kann es doch nicht sein Java zu umgehen?

Wir bleiben erstmal bei meinem Beispiel mit dem Online-Spiel denke ich... das liegt mir am schwersten im Magen


Sage meinen Dank

Sparrow

Hi,

jetzt war ich ein paar Tage unabkömmlich.

Also, es gibt tatsächlich eine Methode, mit der Du den Code wirklungsvoll verschleiern kannst und der Dir helfen könnte: Es gibt die Möglichkeit den ClassLoader zu überschreiben und mit einem Verschlüsselungsalgorithmus zu versehen. Dann verschlüsselst Du das Classfile und speicherst das verschlüsselte Classfile ab. Den Schlüssel holst Du dir online beim ersten Zugriff auf Deinen Server und entschlüsselst damit die entsprechende Klasse.

Das dürfte Deinen Anforderungen genügen...

Ob so etwas allerdings bei Applets geht weiß ich nicht, da Applets vermutlich keine eigenen Classloader zulassen

Grüße

Fuzzy.

[sparrow]

So, da das Thema jetzt für mich wieder aktuell wird, und ich endlich das Forum wieder gefunden habe , werd ich genau das in den nächsten Tagen probieren, die .class-dateien zu verschlüsseln.
Große Hoffnung habe ich allerdings nicht, da zumindest der algorhytmus für die enschlüsselung in einer "normalen" class-datei liegen muss, die wiederum decompiliert werden kann.... ohjeh

Falls noch jemand von euch einfälle hat, einfach das Thema weiterführen

Immerhin bin ich jetzt schonmal soweit die Rahmenbedingungen abstecken zu können:
1. Das Programm ist ein Applet
2. Das Programm ist das Front-End eines Browsergames (wie ogame oder galaxywars o.ä.)
3. Das Backend ist eine mySQL-Datenbank die auch "nicht nur lokal" konnektierbar ist.

So, eins vorweg. Ich weiß das Browsergames meist in PHP geschrieben sind.
Ich möchte das ganze aber in Java (Applet) umsetzen um den Server dadurch zu entlasten und somit mehr spieler gleichzeitig online lassen.
Ich habe mehrere Tests durchlaufen lassen, und der Server geht ab einer bestimmten Anzahl Nutzern für die ständig HTML-Seiten generiert werden müssen ziemlich in die Knie

[nove]

Suchst du noch Mitstreiter für die Entwicklung oder ist das Ding "closed source"

[sparrow]

Zitat:

Zitat von nove

Suchst du noch Mitstreiter für die Entwicklung oder ist das Ding "closed source"

Ja und Ja

Natürlich suche ich Mitstreiter, auch wenn ich gerade in ein anderes Projekt abgetaucht bin (mal wieder Wünsche vom Chef :rolleyes: )

Es hat sich noch keinerlei Team gebildet, da ich ja noch immer an den basics für das Spiel arbeite.

Alllerdings so richtig Open-Source für die Allgemeinheit wirds wahrscheinlich wegen der Sicherheit nicht.

Gruß
Sparrow

Hallo,

ich muss zugeben, ich bin lange nicht so gut im Programieren, wie einige andere hier. Aber ich denke, ich habe zumindest das Problem verstanden.

Du willst die Zugangsdaten zur DB nicht preisgeben (für einen Angreifer selbstredent). Nach den bisherigen Einträgen ist langsam klar, dass das so gut wie unmöglich ist, wenn die Daten im Prog stehen. Also darfst du die Daten nicht da rein schreiben.
Du bräuchtest eine Art Schnittstelle. Ich weiß nicht, ob das mit PHP geht, aber theoretisch kann ich mal schreiben, was ich mir vorstelle. Vielleicht kennt ja jemand eine funtionierende Schnittstelle, die die Anforderung erfüllt.

1.) Zwei DB-Accounts, einer only-read (nur Spieleinstellungen/Stände usw., keine User-Daten), der andere write.
2.) In deinem Java-Prog stehen die DB-Daten für only-read. only-read-Befehle können direkt im SourceCode geschrieben werden.
3.) write-Befehle sowie Login laufen über PHP (SSL-Verschlüsselt am besten). Bei erfolgreichem Login sendet PHP eine dynamisch generierte Variable. Mit dieser Variable hat man erst erfolgreichen Zugriff auf only-read-befehle bzw. write-Befehle über PHP. (Das kannst du evtl. noch zeitabhängig machen o.ä.)

Somit bekommt der End-User erst gar keine Zugangsdaten mit write-Rechten. Nachteil ist, dass der Server etwas mehr arbeiten muss, aber es schränkt sich auf die SQL-write/auth-Befehle ein.

Ich würd mich freuen, wenn jemand nen feadback über diese Idee schreiben würde.

Casb

[sparrow]

hmm...
Ich versuch mal zu verstehen.
Das Java-Programm erhaelt eine Variable von dem PHP-Script, richtig?
Wo ist dann die Schwierigkeit die Variable mit einem anderen Java-Programm abzufangen. Wie man sie anforedert steht ja im Source-Code des regulären Java-Programms.

Gruß
Sparrow

Es geht Primär darum, dass das write/auth-Passwort nicht im Souce steht, sondern nur im PHP. Natürlich kann man die Variable