Seite 1 von 1

Verfasst: 05.11.2003, 18:59
von mirko
Hallo,

das ist wirklich ein Problem, die Sache mit dem Minimieren des Fenster wäre die einzige Möglichkeit.
Hast aber schwein gehabt, dass AmP die Sache noch eingelesen hat, das kann zu ernsten Programmabstürzen führen, damit ist die Datei unlesbar.


--
mirko

Verfasst: 05.11.2003, 14:50
von stvis
Hi Mirko,

fatale Sache: So schön das Feature mit dem Webserver-Upload auch sein mag, hier ein kleines Problem:

Wenn ich den Rechner herunterfahre killt Windows XP recht rigide die noch offenen Anwendungen...
Leider hatte ich AmP noch nicht geschlossen, und obwohl es die Speicherung auf dem Webserver bei begonnen hatte (weil durch Windows beim Herunterfahren zum Schließen genötigt...) hat die Zeit für den kompletten Upload nicht ausgereicht.
Folge: eine um ca. 20kB geschrumpfte AmP-Datei und der Verlust ettlicher Passworte (trotzdem bemerkenswert, dass AmP die Datei trotzdem ohne Murren geöffnet hat ;-)).

Dieses Problem tritt bei der Nutzung einer lokalen AmP-Datei natürlich nicht auf, da hier das speichern scheinbar schnell genug geht.

Lösungsvorschlag: Automatische Speicherung der AmP-Datei, sobald das Hauptfenster von AmP geschlossen (minimiert) wird. Dann wäre das Risiko eines Datenverlusts erheblich kleiner, oder?

Btw: Eine .bak Datei auch auf dem Server wäre vielleicht auch nicht schlecht...
Gruß
Thomas

Verfasst: 31.10.2003, 09:06
von stvis
Original von stvis:
Na, das hört sich doch trotzdem super an, ich freue mich schon auf die Features die da kommen ...:rotate:

WOW! Da hast Du aber ganz schön schnell \"die Katze aus dem Sack gelassen\"! Danke, das war es genau, was ich mir gewünscht hatte!!! Und jetzt gibt\'s unverzüglich die \"werbefreie\" Version, um wenigstens mal \'nen \"Zehner\" beizusteuern...

Verfasst: 28.10.2003, 18:35
von stvis
Na, das hört sich doch trotzdem super an, ich freue mich schon auf die Features die da kommen ...:rotate:

Verfasst: 17.10.2003, 11:24
von mirko
Hallo,

man muss immer Kosten und Nutzen gegenüberstellen. Für 30 oder 40 EUR kauft das kein Mensch. Bei mir sind alle Preise für Shareware-Programme auf \"Masse\" abgestellt, das hat den Vorteil man setzt viel ab aber auch den Nachteil das der Supportaufwand groß ist.

Es wird auf jeden Fall bald eine neue Version geben, mit einem zusätzlichen Passwortfeld und einem Up/Download der Passwortdatei per normalen FTP oder mit einem Script per HTTP.


--
mirko

Verfasst: 16.10.2003, 22:08
von stvis
Bei normalen FTP wird immer Benutzername/Passwort im Klartext übermittelt, damit kann man es theoretisch gleich in die Batch-Datei schreiben.

...Tja Da hast Du natürlich recht, da hilft wohl allenfalls FTPS. Aber die Wahrscheinlichkeit, dass ein nullachtfufzehn-Hacker erfolgreich eine \"man in the middle\" - Atacke zustande bringt, sehe ich ohnehin eher als gering an. Mir geht es eher um Daten, die auf dem Rechner liegen, da sie ja doch problemloser abzusaugen sind, nicht um den Datentransfer...

Bei der Sache mit der Registry lasse ich nicht mit mir reden, die Probleme mit der Ini-Datei sind einfach zu groß. So gemein es klingt aber es ist so, ich muss immer an AOL-Nutzer und Computerbild-Leser denken, die sind einfach nicht in der Lage bestimmte Fehler zu deuten und entsprechende Maßnahmen zu ergreifen um das Problem zu lösen. Das sieht man z.B. immer wieder an der Frage in Verbindung mit dem 0190 Warner \"Kann Logdatei nicht schreiben\", das ist ein typisches Rechteproblem.

Ok, das hattest Du ja auch schon in oben benanntem Thread gesagt, und das Argument, dass dem \"Normal-User\" eher gerecht zu werden ist, wie dem Computerfreak finde ich grundsätzlich auch gut.
Schließlich bin nicht zuletzt auch ich froh, dass die Software, welche ich bislang von Dir getestet habe problemlos ans Laufen gekommen ist...
Ich betreibe mein Windoof nicht unter einem eingeschränkten Benutzerkonto, daher weiss ich nicht, ob ich irgendwelche Probleme mit Schreibrechten zu erwarten hätte. Soweit ich das sehe jedenfalls nicht...
Natürlich führt das alles auch ein bisschen weit, für eine Software, welche Du als Freeware anbietest, aber eine \"AmP-Pro\" Version, welche um gewisse Features wie z.B. FTPS-Client oder die Wahlmöglichkeit \"Standardinstallation -> Wie bisher\" und \"Erweiterte Installation -> Crypt-Ini-File / keine Reg.-Einträge, Endung der AmP-Container-Dateien auswählen, AmP-Prozess-Name auswählen\" würde ich mir doch gut und gerne 30 oder 40 Euro kosten lassen. Das liegt für mich bei Programmen, die ich so regelmäßig nutze wie AmP absolut in der \"schmerzfreien Zone\"...

Verfasst: 16.10.2003, 18:59
von mirko
Bei normalen FTP wird immer Benutzername/Passwort im Klartext übermittelt, damit kann man es theoretisch gleich in die Batch-Datei schreiben.

Bei der Sache mit der Registry lasse ich nicht mit mir reden, die Probleme mit der Ini-Datei sind einfach zu groß. So gemein es klingt aber es ist so, ich muss immer an AOL-Nutzer und Computerbild-Leser denken, die sind einfach nicht in der Lage bestimmte Fehler zu deuten und entsprechende Maßnahmen zu ergreifen um das Problem zu lösen. Das sieht man z.B. immer wieder an der Frage in Verbindung mit dem 0190 Warner \"Kann Logdatei nicht schreiben\", das ist ein typisches Rechteproblem.


--
mirko

Verfasst: 16.10.2003, 18:04
von Wolfi
... von Hand machen bzw. ne Batch-Datei basteln ...
und wer kann das (heute) noch. :D

@Thomas
sollte nur als Anregung dienen, bis Mirko da event. was eingebaut hat. Allerdings denke ich, dass die wenigsten User das File auf einem Webserver ablegen wollen. Deine Sicherheitsbedenken kann ich nachvollziehen, wobei zumindest die Batch-Datei bei NTFS ja verschlüsselt werden kann. Für den Upload wird das Password allerdings, wenn ich mich nicht arg täusche, im Klartext übertragen.
--
Gruß
Wolfgang

Verfasst: 16.10.2003, 17:19
von stvis
Hi Wolfgang, danke für den Tip, habe mir das mal angeschaut. Allerdings wirklich nicht sooo komfortabel. Und vor allem finde ich es auch nicht gerade risikolos, wenn ich mir ein Batch-File erstelle und darin mein ftp-Username und womöglich auch noch mein Ftp-Passwort im Klartext stehen. Müsste mal schauen, ob man batch-Dateien verschlüsseln (respektive komprimieren) kann mit UPX oder so, das wäre wenigstens ein einfacher Schutz vor direkter Einsicht...
Am liebsten wäre mir eine in AmP integrierte Lösung, wo ich die FTP-Daten fein Verschlüsselt ablegen kann.
An anderer Stelle war auch schon mal die Diskussion, ob es notwendig ist, dass AmP Einträge in der Registry macht (glaube, das war die USB-Stick Diskussion)... Ich habe da meine Bedenken, zumal sich die Registry mit allen RATs leicht auslesen lässt.
Dort steht nun der Pfad zu AmP und auch der Pfad zur Container-Datei. Lese ich nun per Keylogger das AmP-Programm-Passwort aus, brauche ich mir beim \"Geleimten\" nur noch die Containerdatei herunterladen (deren Standort ja in der Registry steht) und habe alles, was ich benötige...
Am liebsten wäre es mir, AmP würde mit einer Ini-Datei (verschlüsselt) arbeiten, und keine Einträge in der Registry machen. Ausserdem sollte man den Namen der Software und der Container-Files bzw. Ini-Files bzw. deren Endung selbst festlegen können, damit eine schlichte Suche nach der Endung *.amp oder so bei Hackern ins leere läuft...
Sorry, das gehört ja eigentlich nicht in den Thread, aber es wäre glaube ich schon eine Verbesserung der Sicherheit...

Gruß
Thomas

Verfasst: 16.10.2003, 16:54
von mirko
Wolfi dann muss es aber jeder von Hand machen bzw. ne Batch-Datei basteln, nicht so komfortabel.;-)


--
mirko

Verfasst: 16.10.2003, 16:18
von Wolfi
Vielleicht hilft Dir das weiter:

http://www.akademie.de/websiteaufbau/ti ... pload.html
--
Gruß
Wolfgang

Verfasst: 16.10.2003, 13:32
von stvis
Sorry (***errötentu***) MIRKO, bin etwas überarbeitet...
Na, das finde ich doch cool, dass Du da schon mal drüber nachgedacht hast...
Ja, ja, die liebe Paranoia...
Also bitte! Wenn ich Dir als Programmierer nicht trauen würde, dann würde ich die Software gar nicht erst einsetzen.
Abgesehen davon kann mir niemand weismachen, dass grundsätzlich ein Rechner, der in irgendeiner Form mit einem Netzwerk verbunden ist oder gar dem Internet nicht schon mal partout ein Sicherheitsrisiko darstellt...
Wer, (wie ich) Winzigweich-Software einsetzt und über die gängigen Provider ins Netz geht, kann doch schon mal generell sicher sein, dass es (wenn auch nicht zwangsläufig praktiziert) an jeder Ecke Möglichkeiten und Hintertürchen gibt, um Daten auszuspähen, für wen auch immer...
Tut mir leid, aber ich finde dieses Geschrei vieler Leute recht albern, zumal sie sich der obengenannten Tatsachen scheinbar nicht bewusst sind...
Unterm Strich: Dinge die für mich wirklich von Lebensbedrohlicher oder Lebenserhaltender Bedeutung sind, hat man besser nicht auf einem PC, nicht auf einem Blatt Papier, sondern ausschließlich im Kopf...
Ausserdem sollte es auch klar sein, dass Du als findiger Programmierer kein Problem damit haben solltest, Daten auch ohne eine offensichtliche Internetverknüpfung von AmP abzusaugen.
Wenn Ich mir diverse RATS und Keylogger anschaue, die sich einfach zur Übermittlung von Daten an \"normale\" Prozesse (wie z.B. Internetexplorer) anheften, und von keiner Virensoftware oder Desktopfirewall erkannt werden, dann kann ich ohnehin niemals 100-Prozentig sicher sein.
Aber um nochmal auf den Kern der Sache zu kommen:
Ich fände eine solche Version durchaus gut, man könnte für die ängstlichen ja auch die vorhandene (ohne FTP-Services) beibehalten...
Für mich ist AmP als solches ein guter und sicherer Container, der auf alle Fälle \"Nicht-Profi\" Späher schachmatt setzt und auch eine Software, die tausende Euro kostet kann im Grunde nicht mehr Sicherheit bieten, wenn man obengenannte Möglichkeiten in Betracht zieht.

Verfasst: 16.10.2003, 13:02
von mirko
Mario heisse ich nicht aber was soll es.:D


Die Sache mit FTP oder HTTP Upload geht mir schon lange im Kopf rum aber alle haben doch Angst, das das Programm etwas nicht gewolltes ins Internet schicken will. Bisher unternimmt AmP keinen Internetzugriff nur sobald es einen Upload/Download gibt haben bestimmt viele Angst, dass irgendwas übermittelt wird.


--
mirko

Verfasst: 16.10.2003, 12:49
von stvis
Hi Mario,
nutze AmP seit längerem und habe immer wieder das Problem, dass ich es auch schon mal öfters unterwegs einsetze... (z.B. per USB-Stick mitnehme...).
Es wäre cool, wenn es einen einfachen FTP-Clienten in AMP gäbe, der es ermöglicht, die Amp-Datei auf einem Webserver liegen zu haben und dezentral nutzen zu können. Dann entfiele die nervige Synchronisation, wenn man mehrere (gleichnamige) Amp-Files an verschiedenen Orten hat.
Da die Amp-Datei ja gut verschlüsselt ist, sollte es da ja keine Sicherheitsrisiken geben, möglicherweise könnte man ja auch FTPS einsetzen?