Hi,

Umfeld: Server bei Provider mit MYSQL, Perl, PHP, Linux, Apache. Als Protokoll geht leider nur http.

Ansatz:

Client:      JavaApplet
Server:      PHP-Skript

Du meinst Apache mit einem PHP-Skript.

DB dahinter: MYSQL

Auf dem rechner Lokal?
Ist der MYSQL-Server und die Datenbank daraus gegen draussen abgeschotten und erlaubt nur Zugriff vom Webserver?
Bist du sicher, dass wirklich nur Port 80 offen ist?

Applet bekommt Usereingabe

• Verschlüsselung mit Blowfish
• Umwandeln in Base64 (nur zwecks einfacherem Handling wegen NULL)
• Übertragung zum Server
• Speicherung in DB

Könnte man so machen...

Umgekehrt beim Lesen wird Base64 dekodiert und dann wieder mit Blowfish entschlüsselt (alles im lokalen Applet).

Tabelle sieht dabei so aus:
ID (integer)
data (mediumtext)

Was hat die Table damit zu tun?
ich denke, das PHP-Skript decodiert und wandelt dann die Eingaberequests in entsprechende Abfragen an die datenbank um, die dann aber natürlich ganz anders aussehen können.

Somit bin ich sicher vor dem lokalen Browser-Cache und die Leitung ist auch sicher und selbst wenn jemand an die DB rankommen sollte kann er die Daten zwar zerstören aber nicht lesen. Es bleibt aber ein Problem:

Auf dem Server gibt es logischerweise ein öffentliches PHP-Skript mit folgenden Funktionen:
-gib größte ID (wäre mir egal)

wieso?

-gib alle Records (wäre mir egal, kann ja keiner was mit anfangen)

wieso?

-füge neuen Record an (passt mir schon nicht mehr so da dies ja Schrottdaten wären)

urg

-lösche Record mit ID (passt mir überhaupt nicht)

Warum kann dein PHP-Skript dies alles?

Einfach wäre natürlich das PHP-Skript per .htaccess zu schützen dann muss das Applet sich anmelden aber das ist natürlich wieder "unsecure" wegen dem cleartext Passwort das über die Leitung geht.

Du machst doch schon eine Verschluesselung.
Warum machst du dann nicht auch damit eine Identifizierung des Clients?
Du kannst entweder der Clientsoftware eine zeitabhaengige Identifation mitgeben, die eine Checksumme aus einen Private/Public-key verfahren nutzt.
Ausserdem kannst du natuerlich auch eine Usereingabe fordern.

Alternativ hätte ich noch die Idee:

• ein Client sagt zum Server erstmal HELLO
• der Server schickt eine zufällige Zeichenkette zurück und speichert sich diese mit der Session-ID in einer DB
• der Client wird diese Zeichenfolge dann mit einem Kennwort verschlüsseln (Blowfish) und zurückschicken
• Der Server führt auf seine Zeichenfolge die gleiche Verschlüsselung durch und bei Übereinstimmung wird der DB-Eintrag als "VALID" gekennzeichnet und in der DB mit einem Timestamp versehen. Bei jedem Aufruf wird dann geprüft ob die Session-ID mit einer VALID Session übereinstimmt und ob die Zeit vom letzten Zugriff nicht länger als x Minuten her ist. Falls ok wird der aktuelle Timestamp reingeschrieben. Falls nicht ok liefert das Skript nur eine Fehlermeldung als Response zurück.

Klar, kann man machen.
Aber das waere nur die eine Seite.
Du willst doch den Zugriff auf relevante Daten unterbinden.
Und nicht nur einfach die Verschluessung/Decodierung der Übertragung erschweren!

Anmerkungen? Denkfehler? Verbesserung?

Jede Kritik und jeder Verbesserungsvorschlag sind gerne willkommen.

1. Ueberleg dir ein Rollenkonzept für die Datenbank:
    Lege verschiedene User an, dieauch nur verschiedene Aktionen auf
    Tables machen dürfen.
    Hierbei wäre auch die Überlegung angebracht ob du nicht besser
    eine professionelle datenbank anstelle von MYSQL nutzt. Zum
    Beispiel Firebird.
    Jeder Client kann z.B. eine Userkennung haben, die übermittelt und
    genutzt wird.

2. Ueberleg dir, ob die Serverkonfiguration sicher ist.
   Gerade PHP ist in letzter zeit wegen Sicherheitslücken aufgefallen.
    Siehe BUGTRAQ.

Ein Konzept wäre:

Client ----> Firewall -> Apache-Server -> Datenbankserver

Kostet zwar mehr, aber wenn es z.B. um schützenswerte Personendaten
   handelt, wäre sowas wichtig.
   Dir kann naemlich passieren, dass jemand aufgrund eines Fehlers in
   ein PHP-Skript oder in PHP selbst, einfach auf den Server
   reinkommt. Der kann dann alles mitverfolgen.

3. Dein Verfahren zur Austausch von Daten sollte Zeitabhaengig sein.
    D.h. eine Session-ID sollte nru eine bestimmte Zeit lang gültig
    sein.
4. Dein PHP-Skript tut nur dann was, wenn es eine korrekte
    Identifizierung des Gegenuebers hat. Auf keinen fall soll es
    irgendwelche daten rausgeben oder IDs, wenn es nicht weiss an
    wem.

Ciao,
 Wolfgang

Hallo Thomas,

SSL kannst Du nicht verwenden? Ein Schwachpunkt ist nämlich schon, dass das Applet nicht vor manipulation geschützt ist. Schließlich könnte man das Applet wärend der Übertragung manipulieren und einen Mechanismus einbauen, um das Passwort abzufangen. Schützen kannst Du Dich davor nur, indem Du SSL mit einem offiziellen Zertifikat vermendest oder das Applet mit einem solchen Zertifikat signierst.

• ein Client sagt zum Server erstmal HELLO
• der Server schickt eine zufällige Zeichenkette zurück und speichert sich diese mit der Session-ID in einer DB
• der Client wird diese Zeichenfolge dann mit einem Kennwort verschlüsseln (Blowfish) und zurückschicken

Ein Angreifer kennt also den Klartext und die verschlüsselte Nachricht. Bist Du sicher, dass sie damit nicht der Schlüssel (in diesem Fall also das Passwort) berechnen lässt?

Besser geeignet wäre in dem Fall wohl ein Hashingverfahren wie md5. Der Client könnte sich mit md5(sessionid_vom_server + md5(passwort)) anmelden. Damit würde es auch reichen, auf dem Server md5-Prüfsummen der Passwörter zu speichern.
Evt statt die Prüfsumme aus Passwort und einem zusätzlichen Datum (Benutzername, Zufallsstring, ...) damit man keine doppelten Passwörter erkennen kann und Tabellen der md5-Summen häufiger Passwörter nutzlos sind.

Grüße

Daniel