Eine Verbindung zur einer MySQL Datenbank sicher herstellen?
-
@Lucius sagte in Eine Verbindung zur einer MySQL Datenbank sicher herstellen?:
Man könnte doch gleich die GET Anfrage mit Verschlüsseln und auf dem Server wieder entschlüsseln oder bin ich da auf den Holzweg?
Das ist doch genau das, was hier passiert. Ich glaube, du verstehst noch nicht so recht, wie der Vorschlag zur Architektur genau aussieht, noch wie HTTP-Requests und Verschlüsselung funktionieren. Lies am besten noch einmal ganz langsam und genau die Antworten, von dem Beitrag von hustbaer an. Schlag Begriffe nach, wenn sie dir nichts sagen.
Ich musste ja erstmal eine Verbindung zu meinem Server über C++ hinbekommen, damit ich mir mit Wireshark das ganze ansehen kann.
Ich dachte da eigentlich eher daran, einmal im Browser http://www.example.com/ und einmal https://www.example.com/ aufzurufen. So wirklich weiter wird dich das aber ehrlich gesagt nicht bringen. Es ist ungeheuer interessant (zumindest für mich), daher habe ich es erwähnt, aber letztlich ist die klare Empfehlung ja, dass du das auf gar keinen Fall selber implementieren sollst.
kann ich den ohne weiteres über Curl oder POCO überhaupt mit TLS arbeiten?
Liest du denn nicht die Anleitungen dazu?
-
Jetzt bin ich verwirrt? Die beiträge habe ich gelesen aber die Anleitung? Etwas eingelese habe ich mich in Curl und POCO, aber nicht ausreichend.
Was ich hier oft raus lese ist, das ich dies und das nicht tun soll, aber wie ich es stattdessen tun soll ist immernoch ein rätsel…
Ich lasse mich ja auch hier inspirieren, nur kann ich in moment nicht alle vorschläge testen, da mir der weg nicht ganz klar ist…
-
Ich würde dir davon abraten curl direkt zu nutzen. Das macht dir das Leben einfach schwerer. Verwende stattdessen eine benutzerfreundliche Library, die z.B. auf Curl aufbaut.
Konkret würde ich https://github.com/libcpr/cpr empfehlen. Direkt am Anfang der README ist erklärt wie man z.B. einen GET Request macht. Und wie das ganze nur mit curl aussehen würde.
-
Da schon gesagt wurde, dass der Grund, wieso du C++ verwenden wolltest, so nicht haltbar ist und alternativen dazu geschildert wurden, wieso bleibst du dann nicht einfach bei C# /.Net für den Client?
Das liefert auch gleich passende Klassen/Framworks für HTTP(s) Requests mit.
Wobei mit ASP.Net bzw. die .Net Core version von ASP.Net man auch den http server part implementieren kann. Inklusive Kommunikation mit einer Datenbank.
Wäre eventuell effektiver, wenn du dich mit C#/.Net besser auskennst.
-
@Lucius sagte in Eine Verbindung zur einer MySQL Datenbank sicher herstellen?:
Vielen lieben dank für die Ausführlichen Infos. Natürlich wäre mir C# lieber, wegen der GUI/WPF, allerdings kann man die Exe ja noch viel leichter dekompilieren als C++.
Der Trick ist ja eben dass das Programm welches du dem Endbenutzer gibst keine Geheimnisse mehr enthält. C# Anwendung für den Endbenutzer, C# Zwischenschicht am Server (die kann dann Geheimnisse enthalten), und Datenbank am Server halt für die Persistenz. Mit den aktuellen .NET Features ist das nicht wirklich sehr viel Aufwand. Und wenn du es Plattformübergreifend willst, dann gibt es da auch Möglichkeiten. Am Server sowieso, aber auch für den Client gibt es cross-plattform .NET GUI Frameworks.
Ich wollte eine Programmiersprache wählen die zum einem Schwerer ist zu Dekompilieren und zum anderem Systemunabhängig verwendet werden kann.
Und ich sage dir nochmal: das ist der falsche Ansatz. Um die Zugangsdaten aus einer EXE auszulesen muss man die nämlich nicht dekompilieren. Auf Linux reicht da ein einfaches
strings my_exe_file
in der Konsole.Ich habe bis jetzt keine Brauchbaren Tools gefunden, meine C++ Exe zu dekompilieren, wenn jemand welche Kennt, würde ich gerne aus eigener Sache diese erfahren
Ghidra soll ganz gut sein. Bzw. natürlich IDA Pro, aber das kostet halt mächtig $$$.
Nur jetzt mal zu Thema Zurück, welcher Weg ist der einfachste und sinnvollste, in C++ eine MySQL Verbindung aufzubauen ohne erst bei Fort Knox nach einem Tutorial zu fragen
Es gibt keinen einfachen und sinnvollen Weg. Du kannst es einem Angreifer etwas schwerer machen das Passwort rauszufinden. Aber wenn er gut mit einem Debugger umgehen kann, dann wird er es immer rausbekommen.
Wenn dir das reicht, also "etwas schwerer machen", dann:
- Verschlüssel die Zugangsdaten und leg sie im Programm als byte-Array ab.
- Vor dem Login entschlüsselst du die Daten in ein Stack-Array und verwendest diese zum Aufbau der Verbindung.
- Danach überschreibst du die Daten im Stack-Array wieder - per
volatile char*
Zusätzlich richtest du am Server noch ein SSL Zertifikat ein. Das Zertifikat (ohne private Key natürlich) packst du mit in das Client-Programm rein, und gibst es beim Aufbau der DB-Verbindung mit an - so dass die DB Client Library die Verbindung nur akzeptiert wenn der Server auch das richtige Zertifikat hat.
Dadurch wird es für potentielle Angreifer schonmal um einiges schwerer:
- Die Zugangsdaten stehen nicht mehr unverschlüsselt in der EXE
- Wenn du Glück hast stehen die Zugangsdaten nach dem Login auch nicht mehr im Speicher des Prozesses.
- Der Endbenutzer kann deinem Programm nicht einfach einen anderen DB-Server unterjubeln um so Serverseitig an die Login-Daten zu kommen.
Was trotzdem bleibt ist die Möglichkeit das Programm in einem Debugger laufen zu lassen, und dann z.B. einen Breakpoint auf
send
zu setzen. Mit dem an dieser Stelle angehaltenen Programm wird der Angreifer gute Chancen haben die Zugangsdaten im Speicher zu finden - weil diese zu dem Zeitpunkt eben unverschlüsselt im Speicher stehen müssen, und noch dazu als Parameter im aktuellen Callstack zu finden sind.Also nicht gerade super schwer. Daher nochmal zum Abschluss: lass das bleiben. Mach es ordentlich, so dass das an den Endbenutzer ausgelieferte Programm einfach nichts mehr enthält was geheim bleiben müsste.
-
Die Form von Verschlüsselung macht es aber auch nur minimal schwerer. Man muss letztlich nur schauen welche Funktion die Daten sendet und geht mit einem Debugger den Fahrplan rückwärts. Früher oder später landet man in der Funktion, welche das bytearray liest (solche konstant definierten Daten findet Ghidra übrigens auch so schnell wie definierte Strings). Nun könnte man die Verschlüsselung versuchen zu verstehen, aber weil das keinen Spaß macht schaut man besser was am Ende der Funktion dabei rauskommt. Dort sieht man ja dann die Daten im Klartext. Noch schnell MySql downloaden und schon hat der Angreifer viel Spaß. Wie also @hustbaer schon gesagt bringt sowas wenig. Es ist nur eine Frage der Zeit bis das schiefgeht. Daher empfehle ich diesen Ansatz auf keinen Fall zu wählen. Schreib den Rest in einer Sprache die du kannst und verfolge den Ansatz einer MiddleWare wie hier geschrieben wurde.
-
Ich verstehe eure bedenken ja und stimme euch auch zu. Ich würde ja auch auf C# bleiben, allerdings finde ich keinen anständigen Obfuscator der .NET 6/7 kann.
Klar kann ich meine Anwendung: Auf Deutsch gesagt Strohdumm Programmieren, damit es keine Angriffsziele gibt und das alles natürlich über den MiddleWare lösen, aber mich stört es einfach, das man den kompletten Sourcecode über dotpeek ohne Probleme eins zu eins raus kopieren kann.Wie schon oben beschrieben habe, gibt es derzeit keine Möglichkeit die mir bekannt ist: Free einen Obfuscator für .NET 6 zu nutzen um zu mindestens meinen Code etwas zu verschleiern.
Natürlich würde ich unter C++ auch keinen direkten Weg verwenden, sondern dort auch über den MiddleWare eine Möglichkeit nutzen, um
einen Angreifer in den Wahnsinn zu treiben, allerdings bietet C++ zu mindestens soviel "Schutz" das nicht jede voll Nase mein Code eins zu Eins klauen kann.Ich habe mich ja sogar schon mit der WinAPI angefreundet
-
Nur ist die WinApi halt kacke . Klar, jeder Client kann den Clientcode dann lesen, aber was den Server und deine Datenbank betrifft bleibt alles vor neugierigen Augen geschützt. Und Clientcode klauen bringt halt nicht viel wenn man den Servercode nicht hat.
-
Ja das Stimmt, WinAPI ist schon echt scheiße aber es gibt ja auch wxWidgets, man könnte zwar mit beiden Arbeiten, aber naja. Kann man eigentlich sein Code selbst auch Verschleiern? ohne ein Obfuscator zu verwenden?
-
Ich weiss nicht wieviele leute dir noch erzaehlen muessen, dass security through obscurity einfach nunmal NICHT funktioniert...?
Willst du das einfach nicht verstehen, oder tust du es wirklich nicht?Du willst client-specific krams aus deiner db haben. Jetzt gehst du zu deiner API, gibst der die credentials die den user authentifizieren. Deine API fragt die db nach dem krams, und schickt es zurueck. Das ganze machst du selbstverstaendlich mit TLS, was jede lib aus diesem jahrhundert unterstuetzt.
und schon ist der ganze bums fertig.
bonuspunkte wenn du den client->api auth prozess mit JWT realisierst.
-
@Cardiac sagte in Eine Verbindung zur einer MySQL Datenbank sicher herstellen?:
security through obscurity
Lieber Cardiac, es wäre vielleicht etwas Netter, auch meine Beiträge zu Lesen statt mich hier unfreundlich anzufahren.
Wenn du meine Beiträge gelesen hättest, dann würdest du direkt verstehen, das mir es nicht um die Sicherheit beim Verschleiern geht,
das habe sehr häufig geschrieben.
-
Sei es drum, C# kommt für mich erstmal nicht infrage. Ich werde so schnell auch nicht aufgeben,
ich werde jetzt mal versuchen die Tipps hier umzusetzen und zu Testen. Nur so kann ich lernen.Das einzige was mich wirklich nervt an C++ ist die WinAPI, aber da finde ich eine Lösung. QT kann ich nicht wirklich verwenden, da die Lizenz blöd ist und wxWidgets weiß ich ehrlich gesagt noch nicht, ob ich das verwenden soll.
-
@Lucius sagte in [Eine Verbindung zur einer MySQL Datenbank sicher herstellen?]
Das einzige was mich wirklich nervt an C++ ist die WinAPI, aber da finde ich eine Lösung. QT kann ich nicht wirklich verwenden, da die Lizenz blöd ist und wxWidgets weiß ich ehrlich gesagt noch nicht, ob ich das verwenden soll.
C++ kann aber nix für die WinAPI. Und was ist an der Lizenz von QT falsch?
-
Das stimmt, C++ kann wirklich nichts für die WinAPI. Nur stört mich an C++ das diese Sprache keine eigene GUI mitbringt die besser anpassbarer ist.
Naja, wie ich das verstanden habe, ist QT nur für Open Source User Kostenlos, die Preise sind meiner Meinung nach Unverschämt, nicht weil es im Jahr Summe X kosten würde, sondern, das man Monatlich eine Hohe Summe bezahlen soll.
-
@Lucius sagte in Eine Verbindung zur einer MySQL Datenbank sicher herstellen?:
Das stimmt, C++ kann wirklich nichts für die WinAPI. Nur stört mich an C++ das diese Sprache keine eigene GUI mitbringt die besser anpassbarer ist.
Naja, wie ich das verstanden habe, ist QT nur für Open Source User Kostenlos, die Preise sind meiner Meinung nach Unverschämt, nicht weil es im Jahr Summe X kosten würde, sondern, das man Monatlich eine Hohe Summe bezahlen soll.
Ja, irgendwie muss ne Firma auch Geld verdienen, oder? Was spricht denn gegen Open Source?
Und das C++ keine GUI mitbringt seh ich als großen Vorteil, da die Standard APIs immer sehr komplex und kompliziert gestaltet werden.
-
Es spricht nichts dagegen, allerdings nur Gezwungen zu sein, Open Source zu Programmieren, damit ich ein Framework nutzen darf, finde ich halt doof.
Inwiefern ein Vorteil wegen den Standard APIs?
-
Wenn du relativ zügig eine GUI erstellen möchtest, kannst du dir auch mal Nana anschauen (s.a. Screenshots) - es nutzt modernes C++.
-
@Th69 Danke für den Tipp, das werde ich auf jeden fall gleich mal machen.
PS. Wie nutze ich Nana?
-
@Lucius sagte in Eine Verbindung zur einer MySQL Datenbank sicher herstellen?:
@Th69 Danke für den Tipp, das werde ich auf jeden fall gleich mal machen.
PS. Wie nutze ich Nana?
Wie andere zuvor schon geschrieben haben. Du musst die Doku lesen!
-
@Lucius sagte in Eine Verbindung zur einer MySQL Datenbank sicher herstellen?:
Es spricht nichts dagegen, allerdings nur Gezwungen zu sein, Open Source zu Programmieren, damit ich ein Framework nutzen darf, finde ich halt doof.
Kannst du doof finden. Ich finde es gut, dass OS Projekte nicht zahlen müssen. Aber gut es gibt noch andere Libs.
Inwiefern ein Vorteil wegen den Standard APIs?
Es wird im Standard (meiner Meinung nach) gerne mal over engineered. Im Moment darf ich mich zum Bleistift wieder mit vector<bool> rumschlagen. Wer zur Hölle braucht das und warum muss das in den Standard.