Aktuelle Zeit: 24.08.2019 00:10

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Ein neues Thema erstellen Auf das Thema antworten  [ 15 Beiträge ]  Gehe zu Seite Vorherige  1, 2
Autor Nachricht
 Betreff des Beitrags: Re: Hack mich!
BeitragVerfasst: 27.05.2019 17:14 
Offline
Benutzeravatar

Registriert: 08.09.2004 08:21
Wohnort: Amphibios 9
Dadido3 hat geschrieben:
Meine Vorgehensweise:

danke! Anhand Deiner Anleitung konnte ich das jetzt auch mit wenigen Klicks nachvollziehen. :allright:

Auf die Idee, den Browser in den Pausenmodus zu setzen, um dann das Button-Click-Event abzufangen, bin ich gar nicht gekommen.

Hintergrund der Aktion: Diese 'Verschlüsselung' ist eine Art Zusatz-Feature eines Transpilers, den ein befreundeter Programmierer geschrieben hat. Er hat mich darum gebeten, eine Einschätzung abzugeben, wie schwierig es ist, an den unverschlüsselten JS-Code zu kommen. Da ich das selber nicht beantworten konnte, habe ich diese simple Seite erstellt.

Mir ist natürlich klar, dass sensible Daten nichts im clientseitigen JavaScript verloren haben. :)

Nochmals Danke an alle Mitwirkenden für den Input & Grüße ... Peter

_________________
"A user interface is like a joke. If you have to explain it, it’s not that good." (Martin Leblanc)


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Hack mich!
BeitragVerfasst: 27.05.2019 18:37 
Offline
Benutzeravatar

Registriert: 08.03.2013 14:27
Wohnort: ERB
So ganz verstehe ich nicht, warum selbst heute noch das unendliche Bedürfnis besteht, Quellcodes von z.B. Javascript oder auch PHP verschlüsseln zu müssen. Das Problem an diesen Sprachen ist, das sie zu den neuesten Generationen gehören und Runtimes sowie Paketmanager einen extrem großen Teil der Funktionalitäten stellen. Dadurch wird der eigentliche Anwendungscode in den Hintergrund rücken. Ich weiß, das man versucht seinen Code zu schützen. Aber wirklich Sinn macht das nur bei kompilierter Software. Bei JS oder auch PHP kann man nahezu jede Funktionalität binnen weniger Minuten nachprogrammieren.

Man liefert den Schlüssel dem Browser zwangsläufig mit aus. Außerdem landet bereits der entschlüsselte Code im RAM und da Browser die Debug-Tools dabei haben, ist das analysieren des Codes keine Herausforderung mehr.

Das beste ist eine Mischung aus Kompression und Obfuscator. Es verschwendet keine Performance und es bedarf schon einiges an Kleinarbeit, um einen nachvollziehbaren Code zu erhalten. Es ist aber dennoch nicht wirklich sicher. Es erhöht nur den Aufwand. Wenn es aber um Strings im Code geht, dann würde ich schauen, auch nur die zu verschlüsseln und anstatt Schlüssel direkt in den Code zu schreiben, den Schlüssel aufwendig errechnen zu lassen. Aber auch hier gilt: Wenn mit den Daten gearbeitet wird, liegen sie irgendwann unverschlüsselt im Speicher!

_________________
USAC Protokoll
Universal Stringbased Application Communication Protocoll

Github: Zum Spezifikationdokument v0.01


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Hack mich!
BeitragVerfasst: 28.05.2019 13:15 
Offline
Ein Admin
Benutzeravatar

Registriert: 29.08.2004 20:20
Wohnort: Saarbrücken
Ich gebe dir Recht, TroaX, aber ich verstehe das Beispiel mit PHP nicht. Das läuft ja nicht clientseitig. Das kann also niemand einfach so auslesen. Höchstens der Betreiber des Servers selbst, aber das wäre dann ja bei allen Skriptsprachen so.

_________________
Freakscorner.de - Der Bastelkeller | Neustes Video: Neje DK - 1 Watt Laser Engraver
Ubuntu Gnome 18.04.1 LTS x64, PureBasic 5.60 x64 (außerdem 4.41, 4.50, 4.61, 5.00, 5.10, 5.11, 5.21, 5.22, 5.30, 5.31, 5.40, 5.50)
"Die deutsche Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen – Aber sie ist nicht Open Source, d. h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Hack mich!
BeitragVerfasst: 28.05.2019 14:16 
Offline
Benutzeravatar

Registriert: 23.07.2011 02:08
NicTheQuick hat geschrieben:
Ich gebe dir Recht, TroaX, aber ich verstehe das Beispiel mit PHP nicht. Das läuft ja nicht clientseitig. Das kann also niemand einfach so auslesen. Höchstens der Betreiber des Servers selbst, aber das wäre dann ja bei allen Skriptsprachen so.


Das kommt idR dann zum Tragen, wenn man Software verkauft.

Du hast ein tolles Programm, wie z.B. so ein Forum (gibt ein paar, die was kosten), oder ein Ticketsystem oder,... Du verkaufst die Software und willst natürlich nicht, dass jeder Horst deine Ideen klauen kann.
Ggf. kann man sogar die Lizenzierung darüber ablaufen lassen, wie weiter oben erwähnt: Der gesamte Code ist mit "12345" verschlüsselt, was gleichzeitig auch der Lizenzschlüssel ist. Kunde B bekommt eine Version, die mit "98765" verschlüsselt ist.

Das selbe hast du doch hier auch. Dieser Ruf nach einem "static lib"-compiler, so dass man den Code seiner Includes nicht preisgeben muss, der Endanwender aber trotzdem keine nervige DLL einbinden muss.

_________________
Signatur und so


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Hack mich!
BeitragVerfasst: 28.05.2019 22:39 
Offline
Benutzeravatar

Registriert: 08.03.2013 14:27
Wohnort: ERB
Genau darum geht es. Vertrieb der Software. Ohne verschlüsseltem Code gestaltet sich der Vertrieb nur wenig gewinnbringend. Bei PHP wurde lange Zeit der IonCube-Loader verwendet, um die Anwendung zu ver-/entschlüssen. Das Problem dabei ist nur, das man heute für nahezu jeden Einsatzzweck das passende Schwergewicht an Framework zur Verfügung hat und dadurch jede Funktionalität mit wenig Code nachempfinden kann.

Im Grunde schützt man damit nur die Fingerübungen für versierte Programmierer. Und das ist mit Javascript nicht anders.

_________________
USAC Protokoll
Universal Stringbased Application Communication Protocoll

Github: Zum Spezifikationdokument v0.01


Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 15 Beiträge ]  Gehe zu Seite Vorherige  1, 2

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 6 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu:  

 


Powered by phpBB © 2008 phpBB Group | Deutsche Übersetzung durch phpBB.de
subSilver+ theme by Canver Software, sponsor Sanal Modifiye