mal wieder: sicherheitsdiskussion

[wolter]

halle alle,

ich würde gerne mal wieder eien sicherheitsdiskussion bei der "datenübertragung" starten. das ist ja alles doch recht unbefriedigend. da fast jeder datenverkehr belauscht und so gut wie jede swf-datei wieder in ihren quellcode zurückverwandelt werden kann, wird das schützen von daten echt schwer, oder?

dabei gibt es aus meiner sicht zwei aspekte:

1. ist die übertragung der daten sicher (z. b. passwörter)
2. können die daten leicht gefälscht werden (z. b. highscore)

- https erscheint als sichere lösung, benötigt aber einen entsprechend ausgestatteten server;

- zum schutz von passwörtern (also bereits auf der serverseite vorliegenden werten) bei der übertragung auch ohne https leistet md5 gute dienste (punkt 1);

- refferer lassen sich leicht fälschen und sind somit ein geringer schutz;

- verschlüsslungsalgorithmen helfen wenig, da der quellcode auf der client-seite relativ leicht analysiert werden kann (momentan bietet obusfactor - siehe nachrichten - einen halbwegs sicheren schutz);

ausserdem fehlt ein sicherer weg, um variable werte wie z. b. punktestände gegen fälschungen abzusichern. oder umgekehrt: sobald der mögliche gewinn eine gewisse größe erreicht, sollte auf die gewinnerermittlung anhand einer highscore verzichtet werden.

über weitere ideen, anregungen und lösungen würde ich mich sehr freuen. nützt ja allen . ausserdem würde ich gerne wissen, inwieweit man den refferer bei https-verbindung "fälschen" kann. denn das erscheint mir immernoch als der sicherste weg.

gruss,

sascha.

[Björn L.]

Hallo Zusammen,
ich denke auch, dass es eine sehr wichtige Angelegenheit ist über Sicherheit zu reden. deshalb habe ich mich gewundert, dass noch niemand geantwortet hat.
Ich habe für verschiedene Kunden Administrationstools und Bestellformulare entwickelt und bisher immer auf https gesetzt, da meiner Ansicht nach alle Verschlüsselungsalgorithmen, die man auf dem Client (sprich im SWF eingebaut hat) relativ leicht zu knacken sind. Ich habe die Erfahrung gemacht, dass Kunden, die die in irgendeiner Form etwas "sicheres" haben möchten, gerne bereit sind etwas mehr für den Webspace auszugeben!
Mich würde aber auch interessieren, wie sicher https den wirklich ist! Vielleicht kennt jemand ja einen "Spezialisten", der uns das mal ausführen kann.

Viele Grüße

Björn L.

[STATUS]

Generell ist doch SSL mit der 128bit Verschlüsselung sicher und wird ja auch von Banken beim Online-Banking genutzt oder bei Spielen bei denen es um Geldeinsätze gibt.

[STATUS]

Der wichtigste technische Ansatz für die Sicherheit beim Datentransfer ist das SSL-Verfahren (Secure Socket Layer). Es faßt Verschlüsselungsmechanismen und eine Zertifizierung zusammen. SSL kommt vorwiegend zum Einsatz, wenn Kreditkartendaten oder Bestellungen online übertragen werden.
Bauen Client und Server eine SSL-Verbindung auf, tauschen sie ihre Kennungen aus und vereinbaren einen Codierungsschlüssel, der nur für die Dauer dieser einen SSL-Sitzung gilt. Außerdem tauschen beide Seiten Echtheitsbestätigungen in Form von Zertifikaten aus: Damit bestätigt ein Server die Identität des E-Commerce-Anbieters oder der Online-Bank. Die Zertifikate werden von sogenannten Certification Authorities ausgestellt. Diese virtuellen Behörden überprüfen die Unternehmen und ordnen jedem eine eindeutige Kennung zu. Der bekannteste internationale Vertreter ist Verisign, in Deutschland die von der Telekom betriebene Firma Telesec. Immer wenn im Internet kritische Daten übertragen werden, sollte SSL aktiv sein. Das erkennt man zum einen an der URL: Statt dem üblichen http:// steht hier ein https:// vor der eigentlichen Adresse. Außerdem bringen Explorer und Navigator ein Schlüsselsymbol mit, das in der Statuszeile Aufschluß über den Sicherheitszustand gibt. Ist das Schloß offen, existiert eine unsichere Verbindung. Erst wenn das Schloß zu ist, greift SSL. Mit einem Doppelklick aud das Schloßsymbol erhält man Einblick in das Zertifikat der Gegenstelle. Wichtig sind die Firma, auf die das Zertifikat ausgestellt ist, und der Aussteller. Da theoretisch jeder Web-Anbieter digitale Ausweise austellen darf, sollte ein vertrauenswürdiges Unternehmen wie RSA, Verisign oder Telesec hinter dem Zertifikat stehen. SSL ist zwar auch schon geknackt worden, an Kreditkartennummern interessierte Datendiebe scheuen jedoch meist den Aufwand und suchen sich in der Regel leichtere Beute.

[wolter]

zum thema https:

was ist denn, wenn jemand einen flash-film analyisiert (z. b. mit einem actionscript-viewer) und so die gesamte kommunikationsschnittstelle herausfindet. kann er dann mit einer eigenen anwendung, die diese schnittstelle verwendet auch auf die zertifizierte seite per https zugreifen, oder erkennt der server, dass der film nicht aus der erwünschten quelle stammt (mit einem refferer geht das ja bei normalem http nicht)?

es geht dabei ja nicht so sehr darum, die daten zu schützen (wie bei kreditkarten), sondern viel mehr die echtheit festzulegen. also hat jemand die highscore wirklich erspielt, oder schickt er einfach einen beliebigen wert über die selbe schnittstelle?!

gruss,

sascha.

[STATUS]

Also dafür gibt es ja ID´s i Form von Sessions oder ähnlich um den User eindeutig am System zu identifizieren. Damit kann man auch gewährleisten, dass dies auch der User ist. Und SSL ist ja nur für die Verschlüsselung ansich der Daten zuständig.

[Björn L.]

Hallo Status,
auch auf die Gefahr hin mich zu plamieren: Was ist "ID´s i Form". Muss man das in den SWF integrieren? Wenn ja, dann kann ein Angreifer auch das ausspionieren!?

Grüße

Björn

[flayoo]

Wenn du dich bei einem System anmeldest läuft das in der regel so ab, dass du deinen Username und Passwort (verschlüsselt via SSL) an den Server sendest. Er checkt ob es dich gibt und gibt dir eine eindeutige ID in Form einer Session (Sessions - Grundlagen und Howto ) an den FlashClient zurück. Mit dieser bist du nun beim System eindeutig identifizierbar. Und wenn du nun dein Spie gespielt hast und deine Punkte verschlüsselt an das System übermittelt wird wird auch deine Session-Id mitgeliefert so dass dieser Eintrag auch dir zugeordnet wird. Und somit kann auch kein Fremdeintrag stattfinden wenn man an die URL kommen sollte, da ein Eintrag nur mit einer gültigen ID stattfinden kann.

An diese ID kommt man auch mit dem ActionScriptViewer nicht ran, da diese ja erst zur Laufzeit generiert wird und nach einer bestimmten Zeit auch nicht mehr aktiv ist.

Generelle Infos zu Flash und Sicherheit gibt es auch hier:
Macromedia Flash MX-Sicherheit

[wolter]

aber so kan n man doch noch immer nicht verhindern, dass jemand einel punktzahl fälscht. egal ob er sich anmledet oder nicht, kann er so doch immernoch den film soweit verändern, dass er automatisch sehr hohe punktezahlen zum server schickt - ob er dabei angemeldet ist oder nicht, macht da ja keinen unterschied und ob er die punkte erspielt hat oder fuscht, kann man dann ohnehin nicht mehr nachweisen!

gruss,

sascha.

[STATUS]

Wie soll man denn die Punkte ändern können? Ich versteh nicht was du mit deinem Problem genau meinst.

[markherzberg]

Hi!


Ist wirklich ein interessantes Thema!
Mit SSL hab ich mich bis jetzt noch nicht wirklich beschäftigt, da mir in erster Linie wichtig ist das niemand so leicht an mein Quellcode rankommt.
Ich habe mir dafür eine Methode erarbeitet von der ich gerne mal hören würde was ihr davon haltet.

Also ich lege meine Filmchen so an, daß Grafik, Funktion und Kontent streng voneinander getrennt sind, also so wie es sein soll.
Meine Funktionen bestehen zum großen Teil aus Prototypen, die ich erst zur Verfügung stelle sobald vom Browser eine gültige SID zurückGEPOSTET wird...so weit ich weiß kann ja nur ein Browser posten...
Die SWF Dateien, die die Prototypen zur Verfügung stellen, werden von einem PHP Script geschickt um das Cachen zu verhindern und den CHMOD der Dateien so einzustellen, daß nur die Gruppe darauf zugreifen kann, also der User 0 Rechte daran hat. Nachdem die Prototypen im Speicher sind werden die Filme wieder entladen.
Ausserdem wird dem Ladefilm erst nach dem posten einer gültigen SID mitgeteilt welche Funktionen zu laden sind und wo diese zu finden sind.

Meiner Meinung nach verhindere ich so, daß meine Funktionen jedem unbefugtem in die Hände geraten, oder wüßte von euch einer wie er so ein System umgeht??


gruß
mark

[wolter]

hmm, ich meine, dass du ein spiel machst, indem man ganz normal punkte sammeln kann.

am ende werden diese punkte dann ja zum server für die highscore gesendet. dabei ist der transport der daten unkritisch, da es sich in der regel ja nur um eine punktzahl und evtl. eine email-adresse handelt. aber genau diese punktzahl ist ja denkbar einfach zu fälschen und dafür suche ich nach einer lösung (möglichst ohne extra anmledung aber selbst mit anmeldung habe ich noch keinen halbwegs sicheren weg gefunden). es funktioniert meines wissens ja immer, dass man den flash-film so verändert, dass er den server direkt an spricht (über einen gefälschten refferer und sich somit als original-film ausgibt) und eine gefälscht punktzahl überträgt!

was kann man da tun?

gruss,

sascha.

[STATUS]

Aber was bedeutet denn referr-Fälschen denn für dich.
Im Grunde doch nur, dass man die URL herausfindet an den die Daten übertragen werden.
https://www.domain.de/save.php

Und wenn er an diese Domain einen veränderten Punktestand übersendet ignoriert dies das System doch, da nur Daten angnommen werden, die mit einer ID am System verarbeitet werden können.

[wolter]

@satus: ich bin mir hier selber nicht ganz sicher und hab vermutet, dass ein server anhand des refferes erkennt, von wo die aufrufende seite (bzw. der flash-film) stammt. und wenn man eine seite (bzw. einen flash-film) fälscht, dann erhalten die einen anderen refferer. nun kann man aber den refferer mit hilfe eines proxies (hat man mir mal so erklärt) auf einen beliebigen wert setzen und so dem server vorgaukeln, es handle sich um das originial. hier interessiert mich, ob das stimmt und ob das auch für https gilt.

gruss,

sascha.

[Björn L.]

Hallo sascha,
ich hab das gleiche wie Du gehört, also scheint das wohl zu stimmen!
allerdings weiß ich auch nicht, ob das auch für https gilt. Ich versuc mich mal schlau zu machen.

Gruß

Björn L.