Хочу поместить программу на сервер, но в ней есть секретные ключи.
1. Можно ли сделать так: все несекретную часть программы поместить на сервер, а ключи в файл dll, который оставить на своем клиентском ПК.
Они будут запрашиваться с клиентского ПК только один раз, а потом должны храниться в оперативке или могут каждый раз, когда нужны, связываться с клиентом? По какому типу соединения в таком случае будут запрашиваться ключи: безопасному ssh или другому?
2. Правильно ли понимаю, что если шифровать диск, то дополнительная обфускация не изменит дамп памяти и от дампа памяти защиты нет?
Здравствуйте, Passerby, Вы писали:
P>Хочу поместить программу на сервер, но в ней есть секретные ключи. P>1. Можно ли сделать так: все несекретную часть программы поместить на сервер, а ключи в файл dll, который оставить на своем клиентском ПК. P>Они будут запрашиваться с клиентского ПК только один раз, а потом должны храниться в оперативке или могут каждый раз, когда нужны, связываться с клиентом? По какому типу соединения в таком случае будут запрашиваться ключи: безопасному ssh или другому? P>2. Правильно ли понимаю, что если шифровать диск, то дополнительная обфускация не изменит дамп памяти и от дампа памяти защиты нет?
Не очень понятно о чем ты вообще говоришь. Мне кажется природу не обманешь. Или ты отдаешь пользователям "секретные ключи", или нет.
Здравствуйте, Passerby, Вы писали:
P>Хочу поместить программу на сервер, но в ней есть секретные ключи. P>1. Можно ли сделать так: все несекретную часть программы поместить на сервер, а ключи в файл dll, который оставить на своем клиентском ПК.
Достаточно легко вытаскиваются, особенно .net.
P>Они будут запрашиваться с клиентского ПК только один раз, а потом должны храниться в оперативке или могут каждый раз, когда нужны, связываться с клиентом? По какому типу соединения в таком случае будут запрашиваться ключи: безопасному ssh или другому? P>2. Правильно ли понимаю, что если шифровать диск, то дополнительная обфускация не изменит дамп памяти и от дампа памяти защиты нет?
Если сильно приспичит, то снимут дамп с оперативы.
Здравствуйте, bnk, Вы писали: bnk>Не очень понятно о чем ты вообще говоришь. Мне кажется природу не обманешь. Или ты отдаешь пользователям "секретные ключи", или нет.
Пользователь я. В программе ключи к деньгам. Я хочу их оставить на своем ПК, а всю программу поместить на сервер.
Здравствуйте, Passerby, Вы писали:
P>Здравствуйте, RonWilson, Вы писали: RW>>Достаточно легко вытаскиваются, особенно .net. P>Каким образом?
Про хранение в ресурсах даже не пишу, хоть студией можно вытащить. Элементарно отладчиком по твоей dll пройтись и найти где ты их рано или поздно готовишь для отправки в на сервер. С подобным несколько лет назад обращался один участник форума, за мелкую денежку я ему и вытащил. Там хотя бы интереснее было — не .net.
Здравствуйте, Passerby, Вы писали:
bnk>>Не очень понятно о чем ты вообще говоришь. Мне кажется природу не обманешь. Или ты отдаешь пользователям "секретные ключи", или нет.
P>Пользователь я. В программе ключи к деньгам. Я хочу их оставить на своем ПК, а всю программу поместить на сервер.
Хм. А можно отсюда подробнее. Если пользователь ты сам, зачем тебе "программа на сервере" (и что вообще ты имеешь в виду под "программой на сервере")? Почему бы не оставить программу на своем компьютере?
У тебя десктопная программа, и ты хочешь получать к ней доступ из другого места? А почему не через Remote Desktop например? Или я вообще не понимаю что ты пытаешься сделать?
Здравствуйте, RonWilson, Вы писали: RW>Про хранение в ресурсах даже не пишу, хоть студией можно вытащить. Элементарно отладчиком по твоей dll пройтись и найти где ты их рано или поздно готовишь для отправки в на сервер.
Каким образом кто-то сможет залезть в dll на моем ПК?
Здравствуйте, bnk, Вы писали: bnk>Хм. А можно отсюда подробнее. Если пользователь ты сам, зачем тебе "программа на сервере"
Программа должна иметь быстрый доступ к серверу в Лихтенштейне. У меня tracert около 100 мсек, что не подходит. bnk>У тебя десктопная программа, и ты хочешь получать к ней доступ из другого места? А почему не через Remote Desktop например?
Мне без разницы, если сервер Win, то Remote Desktop.
Вопрос по безопасности.
Здравствуйте, Passerby, Вы писали:
P>Здравствуйте, RonWilson, Вы писали: RW>>Про хранение в ресурсах даже не пишу, хоть студией можно вытащить. Элементарно отладчиком по твоей dll пройтись и найти где ты их рано или поздно готовишь для отправки в на сервер. P>Каким образом кто-то сможет залезть в dll на моем ПК?
А, извиняюсь, плохо прочитал — программа пользовательская с его же ключами, тогда да, только dll-шку и воровать
Здравствуйте, Passerby, Вы писали:
bnk>>Хм. А можно отсюда подробнее. Если пользователь ты сам, зачем тебе "программа на сервере" P>Программа должна иметь быстрый доступ к серверу в Лихтенштейне. У меня tracert около 100 мсек, что не подходит.
запускай свою программу на своем сервере в Лихтенштейне. Или ты трояна пишеш?
Здравствуйте, VladCore, Вы писали: VC>запускай свою программу на своем сервере в Лихтенштейне. Или ты трояна пишеш?
Сервер в Лихтенштейне не мой. Мне к нему надо иметь быстрый доступ. Для быстрого доступа буду арендовать сервер, как можно ближе к главному серверу. Но ключи держать на этом сервере не хочу.
1. Запрос программы с сервера к dll на моем ПК идет по какому соединению?
2. Запрос будет только один раз или каждый раз, когда потребуются ключи?
3. На диске сервера будет оставаться какой-нибудь след ключей?
4. Обфускация что-нибудь дает для защиты от дампа памяти?
Здравствуйте, Passerby, Вы писали:
P>Хочу поместить программу на сервер, но в ней есть секретные ключи. P>1. Можно ли сделать так: все несекретную часть программы поместить на сервер, а ключи в файл dll, который оставить на своем клиентском ПК. P>Они будут запрашиваться с клиентского ПК только один раз, а потом должны храниться в оперативке или могут каждый раз, когда нужны, связываться с клиентом? По какому типу соединения в таком случае будут запрашиваться ключи: безопасному ssh или другому?
Храни ключи на своём сервере, а для авторизации используй временные токены доступа (см. oauth2) так у тебя появляется механизм управления, логирования и мониторинга происходящего особенно в случае утечек. P>2. Правильно ли понимаю, что если шифровать диск, то дополнительная обфускация не изменит дамп памяти и от дампа памяти защиты нет?
Можно еще и виртуалку с шифровнным разделом в виртуалке на шифрованном разделе запустить и файл обфускатором и криптопротектором обработать
Здравствуйте, Passerby, Вы писали:
P>Программа должна иметь быстрый доступ к серверу в Лихтенштейне. У меня tracert около 100 мсек, что не подходит.
А если например взять сервер на Microsoft Azure в Швейцарии (Zurich, выбирается как "Switzerland (North)", пинг до Лихтенштейна меньше 5мсек).
Ключ хранить в Azure Key Valut (в том же датацентре), там по ссылке подробно разбирается что это такое и как безопасно с такими ключами работать.
Здравствуйте, kov_serg, Вы писали: _>Храни ключи на своём сервере, а для авторизации используй временные токены доступа (см. oauth2) так у тебя появляется механизм управления, логирования и мониторинга происходящего особенно в случае утечек.
Нельзя. Теряется время. Передача данных на сервер должна быть не более нескольких мсек.
Здравствуйте, bnk, Вы писали: bnk>А если например взять сервер на Microsoft Azure в Швейцарии (Zurich, выбирается как "Switzerland (North)", пинг до Лихтенштейна меньше 5мсек).
У меня пинг до Лихтенштейна 6 мсек и у тебя тоже. Главное не пинг, а tracert. bnk>Ключ хранить в Azure Key Valut, там по ссылке подробно разбирается что это такое и как безопасно с такими ключами работать.
Зачем, если их можно хранить и меня на ПК?
Здравствуйте, bnk, Вы писали: bnk>А в чем разница? Вообще у меня 20мс, а не 6мс (по speedtest)
сделай любой tracert и пинг к любому сайту и увидишь разницу. И пинг в командном окне. bnk>>>Ключ хранить в Azure Key Valut, там по ссылке подробно разбирается что это такое и как безопасно с такими ключами работать.
Именно так хранит ключи сервер в Лихтенщтейне. Потому моя программа вычисляете всякие nonce шифрует с временем и отправляет серверу. P>>Зачем, если их можно хранить и меня на ПК? bnk>Потому что все уже придумано. Просто прочитать как это использовать.
Сервер уже использует. Мне это зачем?
Здравствуйте, Passerby, Вы писали: P>Здравствуйте, bnk, Вы писали: bnk>>А в чем разница? Вообще у меня 20мс, а не 6мс (по speedtest) P>сделай любой tracert и пинг к любому сайту и увидишь разницу. И пинг в командном окне.
Вроде сделал
в чем разница? bnk>>Потому что все уже придумано. Просто прочитать как это использовать. P>Сервер уже использует. Мне это зачем?
Я имел в виду, если хранить там ключ, то будет понятный и в меру безопасный API, как этот ключ получить ну и гарантии его сохранности от мелокомягких.
Re[10]: Безопасное размещение программы на сервере
Здравствуйте, bnk, Вы писали: bnk>в чем разница?
Не видишь разницу по времени? И tracert показывает количество узлов. bnk>Я имел в виду, если хранить там ключ, то будет понятный и в меру безопасный API, как этот ключ получить ну и гарантии его сохранности от мелокомягких.
Теряется вообще всякий смысл сервера, т.к. он каждый раз будет запрашивать шифрованные ключи. А сервер нужен, для максимально быстрого взаимодействия с основным сервером. Потому tracert для определения количества узлов и их задержки, а не ping.
Тут как картинки помещать?
