Login einfach "ausbauen"

[Fluffys]

Hallo
Ich habe folgende Frage: Wenn ich mein Programm mit einem Login System "sichere", sodass nicht jeder es benutzen kann, wäre es doch möglich für fremde Leute den Code zu decompilen und das Login System auszubauen? Wäre das dann nicht irgendwie lächerlich eines zuschreiben, wenn es sowieso fast jeder selber rausnehmen kann? Obfuscaten bringt da doch auch nicht so viel? Kennt sich jemand mit dem Thema aus?
Danke für eure Hilfe!
LG

 

[Thallius]

Login macht nur Sinn wenn Du die Daten irgendwo extern auf einem Server lagerst. Dann kann Du dort auch das Login machen und das kann keiner Knacken. Bei einer reinen lokalen Desktop Lösung würde ich mir die Zeit sparen.

Gruß

Claus

 

[Fluffys]

Klar Login/User Daten sind auf einem Server, aber das Programm auf dem PC. Das Programm vergleicht also die eingegebenen Daten mit den der Datenbank. Wenn diese übereinstimmen, wird das Programm geöffnet. Ist das leicht auszubauen? Bzw das was du meinst?

 

[Thallius]

Klar Login/User Daten sind auf einem Server, aber das Programm auf dem PC. Das Programm vergleicht also die eingegebenen Daten mit den der Datenbank. Wenn diese übereinstimmen, wird das Programm geöffnet. Ist das leicht auszubauen? Bzw das was du meinst?

Nein ich meinte nicht nur die Login Daten sind auf dem Server sondern auch die Applikations-Daten. Dann würde eine Anfrage nach den Daten beim Server einfach nicht funktionieren wenn man nicht vorher korrekt am Server angemeldet ist.

Gruß

Claus

 

[Fluffys]

Sorry - ich stehe jetzt gerade auf dem Schlauch. Kann man meine Methode als Benutzer einfach so "ausbauen"?
LG

 

[Thallius]

Als Benutzetr nicht aber wen man etwas Ahnung vom Programmieren hat schon. Also ich würde mal sagen jeder in diesem Forum würde das mit etwas Aufwand hinbekommen.

 

[Fluffys]

Vielen Dank für deine Hilfe! Kannst du mir noch evtl einen Tipp geben mit was ich mich beschäftigen muss um das zu verhindern? Oder welche Möglichkeiten es da gibt?
LG und vielen Dank für deine Hilfe

 

[Thallius]

Das kommt drauf an was deine Software macht. Wie gesagt das einzig wirklich sichere ist möglichst viel Daten und Logik auf einen Server auszulagern und die App selber nur als Anzeige zu benutzen.

 

[Fluffys]

Es ist eine Art Spiel, hierbei ist es aber wichtig das der Benutzer nicht ohne anmelden weiter fortfahren kann - und es auch nicht ausbauen kann. Daher denke ich ist es blöd es nur als "Anzeige" zu benutzen. Oder was meinst du dazu?

 

[Neumi5694]

Letzten Ende läuft es immer darauf raus: Hat der user ein gültiges Login? Wenn ja, dann fortfahren. wenn nein, dann nicht.

Und das ist mit genügend Aufwand immer knackbar. Ein Obfuscator hilft, sofern du dann auch wirklich alle wichtigen Methodennamen damit maskierst. Halte so viel private wie möglich, public wird im Normalfall nicht maskiert, da ja jemand von außen darauf zugreifen soll. Du kannst auch das Login regelmäßig mit einem Hintergrundthread prüfen und das Programm abschießen, wenn keines da ist. Mach Daten vom Login abhängig, in dem du sie z.B. wie von anderen schon erwähnt auf einen Server legst, der ein Login braucht, verwende Sicherheitszertifikate, pack deine Jar in einen .exe-Wrapper (mit Jar innerhalb der .Exe), ...

Letztendlich gibt es keine absolute Sicherheit. Wenn es sich nur um eine Art Spiel handelt, das du noch nicht mal komerziell verbreiten willst, dann wird auch keiner versuchen, es zu hacken.

 

[Thallius]

Es ist eine Art Spiel, hierbei ist es aber wichtig das der Benutzer nicht ohne anmelden weiter fortfahren kann - und es auch nicht ausbauen kann. Daher denke ich ist es blöd es nur als "Anzeige" zu benutzen. Oder was meinst du dazu?

Wenn das Spiel mehrere Level hat, dann könntest du die Level zum Beispiel von einem Server nachladen. Das geht natürlich nur wenn er sich vorher korrekt beim Server angemeldet hat. Wenn Du diese Anmeldung dann vernünftig umsetzt mit oAuth, openID oder sonstigem Standard, dann ist dein Spiel eben auch genauso so sicher wie eine Banking App.

Gruß

Claus