Neu Klartext Passwort JTLWawiExtern.dll

MaxWe

Sehr aktives Mitglied
6. August 2018
311
42
Hamburg
Moin Moin,

ich arbeite aktuell an einer in C# umgesetzten Schnittstelle, welche auch die JTLWawiExtern.dll nutzt. Die Implementierung verlief ohne Probleme und erste Tests waren erfolgreich.
Nun zum Thema: Gibt es eine Möglichkeit, dass das DB Server PW nicht im Klartext benötigt wird?
Selbst wenn ich es im Programm verschlüsselt hinterlege, wird es immer an einem Punkt im Programm entschlüsselt und somit im Klartext vorhanden sein.
Das Programm ist zwar nur für interne Zwecke gedacht, aber dennoch möchte ich wenigstens einen Funken Zeit in die Sicherheit der Zugangsdaten stecken. Man weiß nie wo die .exe vll. mal landet.

Ich denke ich kenne leider die Antwort bereits, aber ein Versuch ist es ja wert. Meine einzige Lösung, die mir einfällt wäre den Nutzer das Passwort beim Start selbst eingeben zu lassen, so dass es immer nur zur Laufzeit hinterlegt ist. Oder halt via Nutzer Login das Passwort zu genieren / via Request von anderer Stelle nachzuladen.

EDIT: Auch eine zusätzliche config Datei wäre natürlich eine Lösung. So bräuchte man wenigstens diese zusätzliche Datei für die Zugangsdaten und nicht einfach nur die .exe .

Beste Grüße

PS: Natürlich haben mich vor allem die jüngsten Ereignisse zu diesem Denken veranlasst. Denn hier wurde genau dieses Problem ignoriert.
 
Zuletzt bearbeitet:

elevennerds.de

Sehr aktives Mitglied
23. September 2015
1.187
179
Erstell Dir einen eingeschränkten User für die Datenbank. Dem kannst Du bspw. nur für bestimmte Tabellen Leserechte geben.
 

MaxWe

Sehr aktives Mitglied
6. August 2018
311
42
Hamburg
Erstell Dir einen eingeschränkten User für die Datenbank. Dem kannst Du bspw. nur für bestimmte Tabellen Leserechte geben.
Darüber habe ich auch schon nachgedacht. Die Frage ist wie gut das mit der JTLWawiExtern funktioniert? Konkret möchte ich vrstl nur Versanddaten importieren.
Wenn ich also nur Zugriffe auf zbsp. tVersand,tLieferschein etc. gebe, funktioniert es dann noch zuverlässig?
 

MaxWe

Sehr aktives Mitglied
6. August 2018
311
42
Hamburg
Zusätzlich zur ggf. späteren Einschränkung des Datenbank Nutzers, habe ich nun eine Art Login eingebaut.

In der Anwendung speichere ich lediglich einen String als Salt. Der Nutzer wird beim Start der Anwendung zu erst nach einem Key gefragt. Dieser ist das enkodierte Datenbank Passwort. Mithilfe des hinterlegten Salts wird dieser Key dann im Runtime zum echten DB Passwort dekodiert. So liegt das Server Passwort zumindest nicht in der Anwendung und auch der Nutzer hat lediglich eine kodierte Variante. Klar kann ein Hacker nun beides irgendwie abgreifen, aber die .exe allein nützt einem so nicht mehr viel. Dieses Ziel ist also erreicht, so denke ich.

Ein Login mittels Wawi Nutzerdaten oder seperaten Logindaten wäre hier ein Traum. Ich mag einfach keine direkten DB Zugangsdaten ^^ Vielleicht kommt ja irgendwann noch die JTL API. In Arbeit ist sie ja.
 
Ähnliche Themen
Titel Forum Antworten Datum
Passwort nach X Tagen ändern JTL-Wawi 1.8 13

Ähnliche Themen