PureBoard

Kaeru Gaman hat geschrieben:

ts-soft hat geschrieben:Wenn ich die FTP-Verbindung sniffe spielt das keine Rolle, das Passwort wird
in Klarschrift übertragen, egal was ihr da alles anstellt

mag ja sein, bloß in der nächsten Minute kannst du mit dem ersnifften Zugangscode nix mehr anfangen.

verstehe ich nicht wie Du das meinst? willste das ftp-passwort auf dem server nach jedem zugriff ändern?

wenn ich die netzwerkaktivitiäten auf meinem rechner mitsniffe finde ich das
passwort und alles weitere, weil das ftp-protokoll dies nur unverschlüsselt
annimmt.

eure verschlüsselungen haben nicht die geringste auswirkung auf den sniffer.
deshalb sollte man ftp-verbindungen immer nur auf dem eigenen rechner
machen oder man nutzt sftp

> verstehe ich nicht wie Du das meinst? willste das ftp-passwort auf dem server nach jedem zugriff ändern?

nicht ganz.

ich will das tatsächliche Passwort zeitabhängig machen.

der Client nimmt das persönliche Passwort, und jagt es durch eine Encryption, die die aktuelle Uhrzeit als Key verwendet.
dieser Code wird übertragen.
der Server empfängt den Code und notiert die Uhrzeit, die er dann als Schlüssel für den Decrypter verwendet.
das Ergebnis vergleicht er mit seiner Passwortdatenbank.

Natürlich setzt das Synchronität voraus, aber auch die Atomuhren haben Server wo man die aktuelle Zeit präzise anfordern kann.
sagt ja keiner, dass man das Date() vom OS benutzen muss.


PS:
aber latürnich wird das mit sftp überflüssig...

> ich will das tatsächliche Passwort zeitabhängig machen.
Dann zeig mir mal den FTP-Server der das unterstützt. Da mußte schon
Deinen eigenen Server oder VServer betreiben. Desweiteren muß auf dem
Server ein Programm ablaufen, das in bestimmten Intervallen das Paßwort
ändert, bei Zugriff wird wohl nicht gehen, es sei denn, Du hast Dir einen
eigenen FTP-Server dafür geschrieben. Insgesamt ist das mehr oder weniger
für fast niemanden umzusetzen und nur ein Hirngespinst.

Cronjob der jede Minute läuft ?

X360 Andy hat geschrieben:Cronjob der jede Minute läuft ?

Die meisten haben keinen eigenen Server, müssen sich bei Ihrem Provider
einloggen um Verzeichnisse per FTP freizugeben, das Paßwort wird dann
meist vom Provider-Server automatisch vergeben, läßt sich aber meist dort
ändern, aber nicht per Software.

Der FTP-Server, also die Software die auf dem Server läuft wird das wo wohl
auch nicht unbedingt unterstützten, weils keine entsprechende Funktion gibt
und die Daten aus geschützten Dateien gelesen werden.

Also sind solche Möglichkeiten nur sehr selten verfügbar. Man kann ja nicht
per PHP oder ähnlich FTP-Passwörter auf dem Server setzen, jedenfalls nicht
so weit mir bekannt.

ts-soft hat geschrieben:Man kann ja nicht
per PHP oder ähnlich FTP-Passwörter auf dem Server setzen, jedenfalls nicht
so weit mir bekannt.

Bei FileZilla geht das: http://www.administrator.de/index.php?content=44219

Wieso man könnte sich doch mit dem Passwort in das WebInterface einlogen und das Passwort passend ändern und sich danach wieder auslogen.

Vom Technischen wäre das mit PHP Möglich.
Auf einem Freehoster würde das warscheinlich da dies warscheinlich ohne CURL/fsockopen nicht funktionieren würde und da dies ja bei den meisten Freehostern deaktiviert ist.

Klar ist das ne drecks Lösung, aber ich versuche gerade nur Recht zubekommen

> aber ich versuche gerade nur Recht zubekommen
kannste haben

Mich interessieren mehr praktisch nutzbare Lösungen und die hier erwähnten
Möglichkeiten sind nunmal für kaum jemanden umsetzbar.

Wichtig ist nur das der Autor dieses Thread nun weiß, das Verschlüsselungen
in der Exe Zeitverschwendung sind und sein Programm besser keine FTP
Daten verwendet, egal wo er sie versteckt.

Das ganze komplizierte Verschlüsslungs- und Anforderungssystem was ihr euch da ausdenkt ist aber ziemlich simpel auszuhebeln. Man injiziere eine DLL, hooke die Winsock-API, warte auf den Verbindungsaufbau und die Übertragung des Passworts. Kehre mit der Ausführung nach dem Verbindungsaufbau nicht zum Programm zurück, sondern tue was immer du möchtest auf dem FTP-Server.

Ich hab übrigens immernoch Zugriff auf Stargates FTP . ^^
Der hat sein Passwort nicht geändert, obwohl ich ihm dazu geraten habe und ihm seine Zugangsdaten an den Kopf geworfen hab. Er hatte FTP mal für ne Online-Highscore in nem Spiel verwendet. Die Zugangsdaten waren da auch verschlüsselt.