So, vor einiger Zeit habe ich hier chonmal eine Diskussion geführt (bezüglich MD5) um eben bezüglich dessen Sicherhetit anzufragen.
(Mittlerweile kapiere ich das System auch.)
Ich will das thema etwas auffrischen, da es im GM immernoch schwachstellen gibt die es sehr einfach machen könnten zugriff auf z.B: Online highscores zu bekommen.
1. Gibt es überhaupt einen 100%ig funktionierenden Md5 Hash generator in GML?
DLLs sind ja (nehme ich mal an) auch anfällig (falls man die DLL umschreiben würde, dass sie z.B: das Passwort das verschlüsselt werden soll im klartext ausgibt)
2. Wenn das Online Passwort mit MD5 verschlüssellt abgespeichert wurde (z.B: in einem File) , so wird dieses ausgelesen und vom Client an den Server geschickt und dort verglichen ob diese auch wirklich gleich sind.
Somit kann niemand das Passwort im Klartext auslesen und sich dann "einfach so" mit diesem online im jeweiligen Server einloggen.
ABER:
Falls man den Hashcode in einem File auslesen könnte... kann man mit dme Hashcode auch die Online Daten manipulieren wie z.B: in eine Online Highscore falsche Werte einzutragen.
Dies wäre z.B: möglich indem man ein eigenes Programm schreibt was den Client "simuliert" und den erbeuteten Hashcode einfach an den Server sendet. (mitsamt von falschen Informationen wie z.B: hochgepushten Puntkezahlen.)
Somit wäre der ganze Hashcode letztendlich doch unsicher, da jeder mit ein wenig Programmierkentniss im GML bereich diesen Client faken und somit zugriff auf den Server bekommen könnte. (Zugriff im Sinne von erschummelnden einträgen.)
Übersehe ich irgendetwas, oder gibt es da wirklich keinne Sicherheit? (Sicherheit gibt es natürlich nie, jedoch wäre es wünschenswert das leben von etwaigen schummlern so schwer wie nur möglich zu machen.)
(Mittlerweile kapiere ich das System auch.)
Ich will das thema etwas auffrischen, da es im GM immernoch schwachstellen gibt die es sehr einfach machen könnten zugriff auf z.B: Online highscores zu bekommen.
1. Gibt es überhaupt einen 100%ig funktionierenden Md5 Hash generator in GML?
DLLs sind ja (nehme ich mal an) auch anfällig (falls man die DLL umschreiben würde, dass sie z.B: das Passwort das verschlüsselt werden soll im klartext ausgibt)
2. Wenn das Online Passwort mit MD5 verschlüssellt abgespeichert wurde (z.B: in einem File) , so wird dieses ausgelesen und vom Client an den Server geschickt und dort verglichen ob diese auch wirklich gleich sind.
Somit kann niemand das Passwort im Klartext auslesen und sich dann "einfach so" mit diesem online im jeweiligen Server einloggen.
ABER:
Falls man den Hashcode in einem File auslesen könnte... kann man mit dme Hashcode auch die Online Daten manipulieren wie z.B: in eine Online Highscore falsche Werte einzutragen.
Dies wäre z.B: möglich indem man ein eigenes Programm schreibt was den Client "simuliert" und den erbeuteten Hashcode einfach an den Server sendet. (mitsamt von falschen Informationen wie z.B: hochgepushten Puntkezahlen.)
Somit wäre der ganze Hashcode letztendlich doch unsicher, da jeder mit ein wenig Programmierkentniss im GML bereich diesen Client faken und somit zugriff auf den Server bekommen könnte. (Zugriff im Sinne von erschummelnden einträgen.)
Übersehe ich irgendetwas, oder gibt es da wirklich keinne Sicherheit? (Sicherheit gibt es natürlich nie, jedoch wäre es wünschenswert das leben von etwaigen schummlern so schwer wie nur möglich zu machen.)