[gelöst] Passwort im Programm verstecken

Für allgemeine Fragen zur Programmierung, welche nicht! direkt mit Lazarus zu tun haben.
Benutzeravatar
af0815
Lazarusforum e. V.
Beiträge: 6198
Registriert: So 7. Jan 2007, 10:20
OS, Lazarus, FPC: FPC fixes Lazarus fixes per fpcupdeluxe (win,linux,raspi)
CPU-Target: 32Bit (64Bit)
Wohnort: Burgenland
Kontaktdaten:

Re: Passwort im Programm verstecken

Beitrag von af0815 »

Eigntlich sind es 3.50 € pro Monat. Dafür hat man ein kleines aber komplettes Web Paket.
Ich bin neugierig, ob der Provider so bescheuert ist und wirklich externen DB Zugang schaltet, ohne SSL. Ich kann mir das noch immer nicht vorstellen.
Blöd kann man ruhig sein, nur zu Helfen muss man sich wissen (oder nachsehen in LazInfos/LazSnippets).

charlytango
Beiträge: 843
Registriert: Sa 12. Sep 2015, 12:10
OS, Lazarus, FPC: Laz stable (2.2.6, 3.x)
CPU-Target: Win 32/64, Linux64
Wohnort: Wien

Re: Passwort im Programm verstecken

Beitrag von charlytango »

hubblec4 hat geschrieben:
Sa 3. Sep 2022, 23:54
Die Benutzer bekommen keinen extra SQL zugang und deren eigene PWs speichere ich lokal in eine .ini Datei.(wenn eine bestimmte option gesetzt wird)
Hochladen und runterladen wird im Proggi "überwacht" und ich hoffe es ist nicht möglich da in der DB was zu verändern(löschen, Rechte erhöhen usw.)
Mein Eindruck davon ist, dass du nicht erkannt hast, dass die User des Programmes wohl nicht das Problem sind. Wenn jemand Kapiteldaten braucht wird der nicht als erstes versuchen die DB zu hacken.

Die Leute gegen die du dich schützen solltest sind jene die mit großem Aufwand vollautomatisiert das Internet auf Schwachstellen abklopfen.
Und eine ungeschütze MySQL-DB weckt Begehrlichkeiten. Falls dann da nix zu finden ist weckt es den Vandalismus. Einfach aus der Situation heraus es zu können.
Und dann sind alle mühsam zusammengetragenen Daten weg, falls es kein valides Backupkonzept mit Speicherung an einem anderen Ort gibt.

Die Zeiten wo man auf die Ehrlichkeit der Internet-User und Unversehrtheit von Servern zählen konnte sind seit 30 Jahren vorbei. Wenn du diese Architektur nicht in den Griff bekommst wirst du vermutlich mehr Zeit in das Projekt stecken als du dir im Moment vorstellen kannst -- allein um es am Laufen zu halten.

Ich bin raus...

Benutzeravatar
theo
Beiträge: 10467
Registriert: Mo 11. Sep 2006, 19:01

Re: Passwort im Programm verstecken

Beitrag von theo »

af0815 hat geschrieben:
So 4. Sep 2022, 09:13
Eigntlich sind es 3.50 € pro Monat. Dafür hat man ein kleines aber komplettes Web Paket.
Ja, stimmt. Man sollte manchmal das Kleingedruckte auch lesen. :lol:
Aber das Angebot ist trotzdem OK. Wenn man nicht besonders viel Speicherplatz braucht, ist eigentlich alles Wichtige da.
Zur Geschwindigkeit und Zuverlässigkeit kann man so natürlich nicht viel sagen.

atari1040
Beiträge: 21
Registriert: So 27. Dez 2020, 12:10

Re: Passwort im Programm verstecken

Beitrag von atari1040 »

Ich würde nie direkt auf den MySQL oder FirebirdSQL zugreifen. Baue Dir auf dem Server eine API mit PHP, Javascript oder auch mit Lazarus. Der Zugriff über den Port 3306 und dem Master Passwort verbleibt dann auf dem Server. Dein Programm greift dann über einen REST Client (Port 80 / 443) auf die Daten zu. Das ist auch ein Vorteil, wenn Du mit dem Programm unterwegs bist und z.B. in einem Hotel WLAN mit Sicherheit der Port 3306 gesperrt ist. Ich würde keine direkten Client-Server Zugriffe mehr bauen.

charlytango
Beiträge: 843
Registriert: Sa 12. Sep 2015, 12:10
OS, Lazarus, FPC: Laz stable (2.2.6, 3.x)
CPU-Target: Win 32/64, Linux64
Wohnort: Wien

Re: Passwort im Programm verstecken

Beitrag von charlytango »

@hubblec4
Nur ein Querverweis, Theo hat hier ein feines Stück Software eingestellt das die Lösung für deine Probleme sein könnte.

Eine fertige Zwischenschicht in PHP und ein Dataset zum einbinden in Lazarus.. klingt ziemlich seidig.

hubblec4
Beiträge: 341
Registriert: Sa 25. Jan 2014, 17:50

Re: Passwort im Programm verstecken

Beitrag von hubblec4 »

Ganz frisch der Thread, fein, da schaue ich auch mal rein.

Bin nun auch soweit das ich eine api-Variante anstrebe. habe viel gelesen in den letzten beiden tagen.

hubblec4
Beiträge: 341
Registriert: Sa 25. Jan 2014, 17:50

Re: Passwort im Programm verstecken

Beitrag von hubblec4 »

Es ist nun eine kleine Weile her, aber ich habe nun doch eine REST-API in PHP gecodet um mit der Datenbank zu kommunizieren.

Es war anfänglich nicht so leicht, weil eben noch nie gemacht und nur begrenzt Ahnung vom WEB.

Ich markiere den Chat als gelöst und bedanke mich bei allen für die Denkanstöße.
Zuletzt geändert von hubblec4 am Sa 7. Jan 2023, 20:25, insgesamt 1-mal geändert.

wp_xyz
Beiträge: 4869
Registriert: Fr 8. Apr 2011, 09:01

Re: [gelöst] Passwort im Programm verstecken

Beitrag von wp_xyz »

Losgelöst von diesem speziellen Problem hier eine Lösung für "quick-and-dirty security":

Im internationalen Forum dreht, wie überall, ChatGPT die Runde, und User Thaddy hat ein kleines Programm präsentiert, wie man aus einem Lazarus/FPC-Programm heraus Fragen an die KI stellen kann (https://forum.lazarus.freepascal.org/in ... #msg464955). Dafür muss er seinen API-Key (also sowas wie ein Passwort) an den Server schicken. Anstatt den als "const" im Quelltext zu hinterlegen, schreibt er ihn in eine Datei, die er dann per {$I ...} an der Stelle einfügt, wo der API-Key benötigt wird:

Code: Alles auswählen

    // put your key with single quotes in a textfile called openai.key
    RequestHeaders.Add('Authorization: Bearer '+{$I openai.key}); 

hubblec4
Beiträge: 341
Registriert: Sa 25. Jan 2014, 17:50

Re: [gelöst] Passwort im Programm verstecken

Beitrag von hubblec4 »

Danke für den Link. Schicke Sache das mit dem ChatGPT.
Mal sehen wo da die Reise hingeht.

Das mit dem Include für den API.key ist auch nicht schlecht.

Antworten