Raoul75: schutz vor diebstahl eines parameters

Hallo, zunächst möchte ich mal das selfhtml projekt loben, es hat mir schon eine menge geholfen mich selbst in html zu bilden, ich habe jetzt aber ein recht spezieles problem, bei dem ich selbst nicht weiterkomme.

Innerhalb meines codes habe ich einige parameter eines objektes, wovon ich einen dringend schützen muss, da ansonsten der entsprechende content immer wieder geklaut wird, ansich bin ich zwar immer für einen offenen code, aber in diesem fall muss eine verschlüsselung sein. Was ich so beim googlen finden konnte reicht nicht aus, selbst die software HTML guardian konnte nicht ausreichende sicherheit bieten, nun meine frage gibt es eine möglichkeit diesen einen parameter z.B. in nen md5 zu hashen, oder sonstige möglichkeiten dieseen einen wert so zu verschlüsseln das mein problem behoben würde?

  1. Hallo Raoul,

    wir benutzen Zend Guard und sind recht zufrieden damit.

    Schau dir mal an was der kann und vielleicht hilft es dir ja weiter.

    Grüße,
    Jurik

  2. Hi,

    Innerhalb meines codes habe ich einige parameter eines objektes, wovon ich einen dringend schützen muss, da ansonsten der entsprechende content immer wieder geklaut wird, ansich bin ich zwar immer für einen offenen code, aber in diesem fall muss eine verschlüsselung sein. Was ich so beim googlen finden konnte reicht nicht aus, selbst die software HTML guardian konnte nicht ausreichende sicherheit bieten, nun meine frage gibt es eine möglichkeit diesen einen parameter z.B. in nen md5 zu hashen, oder sonstige möglichkeiten dieseen einen wert so zu verschlüsseln das mein problem behoben würde?

    Selbst wenn du den Wert "verschluesselst" (und dein Objekt-Inhalt, was immer dieser sein mag [1], ihn wieder entschluesseln kann) musst du ja dann doch diese verschluesselte Version an die Clients ausliefern - und wer soll mich dann daran hindern, ihn ebenso verschluesselt in eine andere Seite einzubauen?

    [1] Flash bspw. kann die Domain pruefen, unter der es ausgefuehrt wird - macht bspw. sFIR auf Wunsch so. Vielleicht hilft dir das ja.

    MfG ChrisB

    1. Selbst wenn du den Wert "verschluesselst" (und dein Objekt-Inhalt, was immer dieser sein mag [1], ihn wieder entschluesseln kann) musst du ja dann doch diese verschluesselte Version an die Clients ausliefern - und wer soll mich dann daran hindern, ihn ebenso verschluesselt in eine andere Seite einzubauen?

      [1] Flash bspw. kann die Domain pruefen, unter der es ausgefuehrt wird - macht bspw. sFIR auf Wunsch so. Vielleicht hilft dir das ja.

      MfG ChrisB

      Da hast du mit sicherheit recht, das einfache kopieren des codes und in andere seiten einbauen ist nicht so sehr das problem, die seiten die dafür in frage kommen würden kann ich an einer hand abzählen und die wären zu überwachen, das problem ist das dieser parameter (eine quelle für einen stream) in chats etc geposted wurde und das für massive probleme sorgte, die frage ist also welche möglichkeiten habe ich diese zeile zu verschlüsseln um dies so schwer wie möglich zu machen.

      1. Nun ja - egal wie sehr du es verschlüsselst, es muss ja bei deinem Kunden so ankommen damit er es 'abspielen' kann. Und das bedeutet, er kann es weitergeben und andere können es auch 'abspielen'.

        Du möchtest also es unmöglich machen, den Teil dieses Codes ausfindig zu machen? Unmöglich geht dabei leider nicht.

        Aber Schutz genug wären PWs in Kombination mit IPs - sprich, wenn User X sein PW benutzt um den Stream sich anzuschauen/-hören dann 'sperr' seinen Account auf die IP für eine Stunde.

        Das würde mir einfallen damit keine Überlastung auftritt. Eventuell kannst du das Szenario noch etwas genauer beschreiben?

      2. ...das einfache kopieren des codes und in andere seiten einbauen ist nicht so sehr das problem, die seiten die dafür in frage kommen würden kann ich an einer hand abzählen und die wären zu überwachen, das problem ist das dieser parameter (eine quelle für einen stream) in chats etc geposted wurde und das für massive probleme sorgte, die frage ist also welche möglichkeiten habe ich diese zeile zu verschlüsseln um dies so schwer wie möglich zu machen.

        Also würden "massive Probleme" auch dann eintreten, wenn sich schlicht eine sehr große Anzahl von Besuchern der Originalseite diesen Stream reinziehen würden?

        In diesem Fall würde ich das Problem doch von der anderen Seite angehen und die Ressourcen zur Verfügung stellen, die solche Besucherzahlen verkraften.

        Wie von Kollegen schon angeführt:

        Entweder Zugang über individuell zu vergebendes Passwort oder Zugang öffentlich - und damit letztlich auch die Stremreferenz. Dazwischen gibt's nichts.

        Noch eine Bemerkung, die nichts mit dem Thema, aber dennoch mit Deinem Posting zu tun hat. Groß- und Kleinschreibung stellt kein Hindernis, sondern vielmehr eine Lese- und Verständnishilfe in der deutschen (Schrift-)Sprache dar. Ich kenne wohl das Argument "aber so kann ich schneller tippen", aber wenn ich eine Frage/Botschaft/Nachricht an andere richte, dann möchte ich i.d.R. doch auch, dass diese so gut wie möglich aufgenommen und verstanden wird.
        ansonstenkannstduauchgleichnochalleleerzeichenweglassen. satzzeichensindeigentlichauchüberflüssigundgenaugenommenbrauchtmanwohlauch
        keineknsnntndsghtdnnllsnchvlschnllr

        grßvmfmkr

        --
        Natürlich glaube ich an die Existenz von Ausserirdischen. Schliesslich gibt es ja auch das PERFEKTE SCRIPT.
        1. Hi foomaker!

          ansonstenkannstduauchgleichnochalleleerzeichenweglassen. satzzeichensindeigentlichauchüberflüssigundgenaugenommenbrauchtmanwohlauch
          keineknsnntndsghtdnnllsnchvlschnllr

          Das sind mir die Richtigen: Was von k(o)ns(o)n(a)nt(e)n weglassen schreiben und dann die Vokale weglassen - tzz ;-)

          Grüsse,
          Richard

          1. Hi foomaker!

            ansonstenkannstduauchgleichnochalleleerzeichenweglassen. satzzeichensindeigentlichauchüberflüssigundgenaugenommenbrauchtmanwohlauch
            keineknsnntndsghtdnnllsnchvlschnllr

            Das sind mir die Richtigen: Was von k(o)ns(o)n(a)nt(e)n weglassen schreiben und dann die Vokale weglassen - tzz ;-)

            Grüsse,
            Richard

            Hallo Richard,

            jap! Da hast Du natürlich Recht. Gut aufgepasst. Ich gehe in mich und suche mal nach meinem Handbuch "Deutsch für Besserwisser".

            Und Danke für die Korrektur. ;-)

            Gruß vom foomaker, der mit Fremdwörtern rebubierend konfekt ist.

            --
            Natürlich glaube ich an die Existenz von Ausserirdischen. Schliesslich gibt es ja auch das PERFEKTE SCRIPT.
        2. Groß- und Kleinschreibung stellt kein Hindernis, sondern vielmehr eine Lese- und Verständnishilfe in der deutschen (Schrift-)Sprache dar.

          Ausgerechnet ein TOFU-Produzent muss da den Zeigefinger heben :->

          1. Groß- und Kleinschreibung stellt kein Hindernis, sondern vielmehr eine Lese- und Verständnishilfe in der deutschen (Schrift-)Sprache dar.

            Ausgerechnet ein TOFU-Produzent muss da den Zeigefinger heben :->

            Versteh' ich nicht. Was ist ein TOFU-Produzent? Und was hat das mit meinem Beitrag, den Du zitierst zu tun?

            Gruß vom foomaker, der gern mitlachen möchte ;-)

            --
            Natürlich glaube ich an die Existenz von Ausserirdischen. Schliesslich gibt es ja auch das PERFEKTE SCRIPT.
            1. Versteh' ich nicht. Was ist ein TOFU-Produzent? Und was hat das mit meinem Beitrag, den Du zitierst zu tun?

              Ergänzung vom foomaker, der jetzt herzlichst mitlacht, weil er *nachgelesen* hat, was TOFU, TUFO, FUTO und FOTU sind.
              Und in sofern hat das natürlich was mit dem erwähnten Beitrag zu tun, weil ich der Einfachheit halber UND weil der zitierte (oops, "fully quoted") Beitrag doch recht kurz war.

              Aber im Prinzip hast Du natürlich Recht und ich einen Lerneffekt.

              Gruß vom foomaker, der immer wieder gern dazulernt.

              --
              Natürlich glaube ich an die Existenz von Ausserirdischen. Schliesslich gibt es ja auch das PERFEKTE SCRIPT.
  3. Innerhalb meines codes habe ich einige parameter eines objektes, wovon ich einen dringend schützen muss, da ansonsten der entsprechende content immer wieder geklaut wird

    selbst die software HTML guardian konnte nicht ausreichende sicherheit bieten

    Wenn du möchtest, dass der Stream in der Öffentlichkeit sichtbar ist, dann musst du ihn auch der Öffentlichkeit zugänglich machen, eine Verschlüsselung scheidet daher aus. Eine Verschlüsselung, bei der jeder den Schlüssel hat bzw. haben muss, kann man nicht mehr Verschlüsselung nennen.

    Was HTML Guardian und andere Javascript-"Verschlüsseler" bieten, ist dementsprechend nur eine Verschleierung. Das kannst du auch selbst erledigen, du kannst es auch noch aufwendiger machen, Teile des Codes oder Datums mittels Ajax nachladen und das Objekt über DOM-Funktionen einbinden, aber es bleibt eine Verschleierung, die grundsätzlich von jedem Benutzer rückgängig gemacht werden kann - ist nur eine Frage des Durchhaltevermögens.
    Reicht dir das nicht, musst du damit leben.

    Das Einbinden eigener Objekte in Seiten Dritter lässt sich auch anders verhindern: Referer:-Prüfung, Cookies, auch das Ändern der Stream-URL alle Stunde oder gar bei jedem Abruf gehört dazu.

    1. Hi,

      Was HTML Guardian und andere Javascript-"Verschlüsseler" bieten, ist dementsprechend nur eine Verschleierung. Das kannst du auch selbst erledigen, du kannst es auch noch aufwendiger machen, Teile des Codes oder Datums mittels Ajax nachladen und das Objekt über DOM-Funktionen einbinden, aber es bleibt eine Verschleierung, die grundsätzlich von jedem Benutzer rückgängig gemacht werden kann - ist nur eine Frage des Durchhaltevermögens.

      Es erfordert nicht mal sonderlich viel Durchhaltevermoegen, mittels DOM-Inspector, FireBug o.ae. nachzuschauen, was ein noch so "verschluesseltes" JavaScript letztendlich fuer Elemente ins Dokument hineingeneriert hat.

      MfG ChrisB

      1. Hi,

        Was HTML Guardian und andere Javascript-"Verschlüsseler" bieten, ist dementsprechend nur eine Verschleierung. Das kannst du auch selbst erledigen, du kannst es auch noch aufwendiger machen, Teile des Codes oder Datums mittels Ajax nachladen und das Objekt über DOM-Funktionen einbinden, aber es bleibt eine Verschleierung, die grundsätzlich von jedem Benutzer rückgängig gemacht werden kann - ist nur eine Frage des Durchhaltevermögens.

        Es erfordert nicht mal sonderlich viel Durchhaltevermoegen, mittels DOM-Inspector, FireBug o.ae. nachzuschauen, was ein noch so "verschluesseltes" JavaScript letztendlich fuer Elemente ins Dokument hineingeneriert hat.

        MfG ChrisB

        vielen dank Teufelchen, es ist mir klar das es immer zu knacken ist, aber diese Verschleierung möchte ich letztendlich so aufwendig wie möglich haben, denn wie ChrisB schon sagt bietet Javascript kaum Schutz, vielen Dank für die Bestätigung, ich habe bisher einfach nur die praktische Erfahrung gemacht und nicht gewußt das es so einfach ist mit diesen Tools. Also wäre ich an der Methode das Object über Ajax zu laden durchaus interessiert, denn momentan dauert es nur einige Minuten bis die Informationen rauskommen, über jede minute mehr wäre ich im schon froh, hättest du eventuel einen link wo ich etwas darüber lesen könnte?

        mfg Raoul

        1. Hallo Raoul75,

          für den Einstieg: http://developer.mozilla.org/de/docs/AJAX:Getting_Started

          Gruß, Jürgen

  4. geklaut

    <i-tüpferl-reit>
    klauen, stehlen usw impliziert, dass etwas den besitzer wechselt

    in dem fall gehts um nicht erlaubtes kopieren ;)
    </i-tüpferl-reit>