Hallo. Ich habe eine Clientsoftware / Handyapp, welche normalerweise auf einen Server zugreift. Allerdings ist der Server recht komplex. Er hat auch viele Features, die ich nicht brauche. Ich brauche auch keine Verschlüsselung oder Authentifizierung via AuthServer oder Radius. Die Interconnection und Clusterfunktionen brauche ich auch nicht. Ich brauche auch keine Möglichkeit, das System direkt aus der Software heraus zu verwalten. Ich will die Clientsoftware nur als "Anzeigemedium" nutzen. Also habe ich einen minimalistischen Server so nachprogrammiert, dass das Clientprogramm arbeitet. Allerdings mache ich dabei viele Verstöße gegen den Standard, vieles ist gar nicht implementiert. Zum Beispiel ist es eigentlich ein Muss (Laut Doku) verschlüsselte Verbindungen zu unterstützen. Die Clientsoftware kommt aber (inoffiziell) auch mit unverschlüsselten Verbindungen klar. Auch bei der Authentifizierung pfusche ich. Ich mache zum Beispiel kein Radius, sondern melde immer eine erfolgreiche Authentifizierung an den Client zurück, sobald nur die IP schon passt. Wenn Verwaltungsfunktionen oder andere nicht implementierte Funktionen aufgerufen werden sollen, melde ich einfach immer fest den Fehlercode für "nicht erlaubt" zurück. Ein Verwalter oder Operator Level gibt es nicht, es wird nur das User Level untersützt. Die komplette "Verwaltung" und Rechtevergabe mache ich bei meinem "Light Server" einfach per Config Files und PHP Scripts oder sogar hard-coded. Ich implementiere das Protokoll quasi nur so minimalistisch wie es notwendig ist, damit die Clientsoftware benutzbar ist. Wie seht ihr das, ist sowas pfusch? Oder ist das legitim, eine vorhandene Clientsoftware einfach mit einer rudimentären Server+Protokoll Emulation zu nutzen?
Marco schrieb: > Ich habe eine Clientsoftware / Handyapp, Marco schrieb: > Ich brauche auch keine Verschlüsselung oder Authentifizierung *Pfusch!* Eindeutig Pfusch. Alles was irgendwo Daten mit einem Server austauscht, sollte authentifiziert und verschlüsselt erfolgen.
> *Pfusch!* Eindeutig Pfusch. Alles was irgendwo Daten mit einem Server > austauscht, sollte authentifiziert und verschlüsselt erfolgen. Naja, solange man Authentifizierung und Vershclüsselung aussen vor lässt, ist das Protokoll sehr einfach. Das ist nämlich einfach nur XML. Radius, TLS usw, macht das ganze nur kompliziert. Ich nutze die ganzen Verwaltungsfunktionen der Software eh nicht, es ist gar nicht möglich, sie zu verwenden. Der Admin Level ist gar nicht implementiert. Auch die ganzen Funktionen, dass sich mein Server mit einem anderen verbindet, sind nicht implementiert. Es gibt nur eine Anbindung an den eigenen Webserver via PHP Script. Also wenig Risiko. Es ging nur drum, eine fertige Softwarelösung für einen eigenen Zweck "Gangbar" zu machen. Und zwar hauptsächlich wegen der Handy App.
Was soll daran nicht gut sein? Wenn's laeuft, laeuft's.
Siebzehn Zu Fuenfzehn schrieb: > Was soll daran nicht gut sein? Wenn's laeuft, laeuft's. Genau diese Einstellung ist an mindestens 90% aller Sicherheitsprobleme im Netz schuld!
Würde an deiner Stelle auch darauf achten, dass die Verschlüsselung auch implementiert wird, sonst ist deine App sehr leicht angreifbar.
Hi. Danke für eure Meinung. Ich hatte selbst schon ein schlechtes Gewissen, einfach nur auf grundlegende Funktion zu gehen. Dann hänge ich wohl nochmal ein paar Tage rein, um die Verschlüsselung zu implementieren.
Na ja, die erste Frage ist doch, für wen machst du das. Wenn das dein privates Spielzeug ist, mach, was einfach, was du willst. Oliver
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.