Hallo,
ich schreibe derzeit eine Client-Applikation für ein Online Portal.
Dieses stellt eine Api zur Verfügung, die über HTTPS-Posts angesprochen wird,
d.h. die Übertragung selbst ist verschlüsselt.
Das funktioniert alles wunderbar - nun eine Frage zur Sicherheit:
Diese Applikation soll später anderen Usern zur Verfügung gestellt werden,
das Programm kann allerdings nur mit einer sogenannten Programm-ID im
Header auf die Api zugreifen.
D.h. die Programm-ID muss im Quellcode oder einer beiliegenden Datendatei
natürlich zur Verfügung stehen.
Möglichst sollte Niemand diese ID herausfinden können, da dieser Jemand
sonst mit einer eigenen Applikation über meinen Account auf die Api zugreifen könnte.
Ich habe mir nun überlegt, diese mit z.B. MD5 verschlüsselt im Code
zu hinterlegen und dann vom Programm entschlüsseln zu lassen,
so dass diese dann als Variable zur Verfügung steht.
Meine Frage betrifft nun speziell die Sicherheit dieses Vorgehens -
theoretisch wäre die Variable ja im Speicher einsehbar (wenn man weiß
wonach man sucht - wer sich auskennt weiss aber zumindestens schon mal
die Länge der Variable ist, nach der er sucht (ich glaube die sind immer gleich lang).
Gibt es bessere Möglichkeiten oder bin ich da einfach nur etwas zu Paranoid?
Bin für jeden Vorschlag, Hinweis und Anmerkunge dankbar,
dürfen auch gerne sehr detailiert sein - ich bin bei dieser Sicherheits-Thematik
nicht wirklich Fit.
Gruß und schönes Wochenende.
Client Authentifikation Web-Api: Programm-ID verschlüsseln?
Client Authentifikation Web-Api: Programm-ID verschlüsseln?
PB 5.x & Win 7 64Bit
Re: Client Authentifikation Web-Api: Programm-ID verschlüsseln?
K.Putt,
im Prinzip hast du dir ja schon selbst die Antwort gegeben:
100% Sicherheit gibt es nun mal nicht.
An irgendeiner Stelle muß du ja entschlüsseln und da ist immer der Angriffspunkt.
im Prinzip hast du dir ja schon selbst die Antwort gegeben:
Code: Alles auswählen
theoretisch wäre die Variable ja im Speicher einsehbar An irgendeiner Stelle muß du ja entschlüsseln und da ist immer der Angriffspunkt.
PB5 / Spiderbasic / WB14 / Win7 / Win8.1 / Win10 / Debian 9
Re: Client Authentifikation Web-Api: Programm-ID verschlüsseln?
Danke.
Dann verstehe ich also doch genug davon um paranoid sein zu dürfen
Gut, dann muss man dieses Restrisiko wohl akzeptieren.
Womöglich teile ich die Entschlüsselung dann einfach in mehrere Variablen,
die ich erst direkt beim Senden mit den POST Variablen zusammenfüge,
so dass die ID niemals irgendwo komplett und allein im Speicher steht.
Dann verstehe ich also doch genug davon um paranoid sein zu dürfen
Gut, dann muss man dieses Restrisiko wohl akzeptieren.
Womöglich teile ich die Entschlüsselung dann einfach in mehrere Variablen,
die ich erst direkt beim Senden mit den POST Variablen zusammenfüge,
so dass die ID niemals irgendwo komplett und allein im Speicher steht.
PB 5.x & Win 7 64Bit
Re: Client Authentifikation Web-Api: Programm-ID verschlüsseln?
Nebenbei bemerkt: MD5 verschlüsselt nichts, sondern
erstellt eine Prüfsumme. Will heißen: Aus einem MD5
kannst Du nicht mehr die zugrunde liegende Information
rekonstruieren. Zum Verschlüsseln wäre beispielsweise
die AESEncoder-Funktionen geeignet.
Grüße ... Kiffi
erstellt eine Prüfsumme. Will heißen: Aus einem MD5
kannst Du nicht mehr die zugrunde liegende Information
rekonstruieren. Zum Verschlüsseln wäre beispielsweise
die AESEncoder-Funktionen geeignet.
Grüße ... Kiffi
a²+b²=mc²
Re: Client Authentifikation Web-Api: Programm-ID verschlüsseln?
Hallo Kiffi.
Ja, Danke. Hatte ich beim Durchblättern der Referenz dann auch bemerkt - sorry.
Ja, Danke. Hatte ich beim Durchblättern der Referenz dann auch bemerkt - sorry.
PB 5.x & Win 7 64Bit