MySQL Passwort sicher?

  • 11 Antworten
  • Neuester Beitrag
Diskutiere MySQL Passwort sicher? im Android App Entwicklung im Bereich Betriebssysteme & Apps.
K

knuppel

Neues Mitglied
Hallo,

über Arduino bin ich auf Processing gestoßen. Damit kann man auch Android Apps in Java schreiben.
Ich habe dann eine App geschrieben, die meinen Standort in eine MySQL Datenbank speichert. Die Verbindung habe ich im Processing Sketch hergestellt, folglich ist dort auch der MySQL Server, Benutzername und Passwort vorhanden. Meine Frage ist nun, ob jemand die APK so auslesen könnte und an meine MySQL Login Daten kommen könnte?
 
finnq

finnq

Ehrenmitglied
Ja, das ist normalerweise gar kein Problem das auszulesen. Falls du die App so heftig obfuskiert hast, dass der, naja nennen wir ihn mal, "Hacker" die Lust verliert, kann er das Passwort immer noch in ein paar Sekunden mit Sniffern abfangen, solange deine Verbindung nicht verschlüsselt ist.

-> Niemals, aber auch wirklich nie, sollten solche Passwörter in Apps gespeichert werden. Eine Möglichkeit das zu umgehen, währe z.B. auf dem Server ein PHP Script einrichten, welchem man die Daten per GET oder POST übergibt und welches diese Daten dann in die Datenbank einträgt.

BG finnq
 
ChrisiBoy

ChrisiBoy

Erfahrenes Mitglied
Deswegen solltest du den Text per POST senden (Kann man nicht so leicht anfangen)

Sent from my GT-I9100 using Android-Hilfe.de App
 
finnq

finnq

Ehrenmitglied
Was soll denn an POST schwieriger auszulesen sein? Die Daten können natürlich abgefangen werden, aber die MySQL Passwörter usw. nicht. Dir könnte dann natürlich jemand die DB zuspammen, aber da gibt es auch Möglichkeiten, die Gefahr zumindest zu verringern.

//tapatalked / Nexus 4 / CM10.1 F'Bs
 
ChrisiBoy

ChrisiBoy

Erfahrenes Mitglied
Stimmt ^^
Bin schon etwas müde...
Ich schreibe auf meine Server seitige Datenbank per $_GET in PHP. (/script.php?item1=hallo&item2=Hallo%20auch)
 
T

toomuchcoffeeman

Ambitioniertes Mitglied
Man kann die Gefahr aber auch massiv reduzieren, indem man SSL für die Übertragung verwendet.

Mein ebay- oder gmx-Passwort schicke ich ja auch ständig durchs Netz. Ganz zu schweigen vom Login bei meiner Bank. Und da sind die URLs ja auch jedem bekannt.

Also sensible Daten immer verschlüsselt schicken.

Kannst die Daten in der App auch noch mal extra verschlüsseln und auf dem Server wieder entschlüsseln, aber das wäre meiner Meinung nach ein bissl viel des Guten.

Sehr viel sicherer wirst Du es ohne einschlägiges Know-How eh nicht hinkriegen, denn so oder so: Am Ende schickst Du (mindestens) ein Datenpaket durchs Netz.
 
K

knuppel

Neues Mitglied
Ich würde gerne eine App erstellen, die den aktuellen Standort (auf Wunsch) an buddypress (Wordpress Community Plugin) schickt. Nur wie krieg ich die Daten am sichersten zum Server.
 
J

JanF

Stammgast
Was spricht denn dagegen, das Passwort (einmalig) eingeben zu müssen? Wenn es im Datenbereich der App gespeichert wird, braucht man immerhin root rechte, um es auslesen zu können. Natürlich kann man auch einen Hash des Passworts dort speichern und sich auf dem Server dann mit diesem Hash einloggen - ändert nicht mehr an der Tatsache, dass sich auf dem Server einloggen kann, man an das auf dem Handy gespeicherte Passwort gekommen ist.
Aber, in meinen Augen ist es wesentlich einfacher an ein in der .apk hard codiertes Passwort zu gelangen, als an ein vernünftig auf dem Handy gespeichertes.


P.S.:
Wenn Du den Weg über das php script gehen willst, kannst Du die Daten auch "signieren". Dann kann man die Datenbank nur zuspammen, wenn man weiß, wie signiert wird, jedoch keinen größeren Schaden anrichten. Zum signieren kannst Du wiederum das Passwort im richtigen Bereich des Handies speichern.
 
Zuletzt bearbeitet:
finnq

finnq

Ehrenmitglied
toomuchcoffeeman schrieb:
Mein ebay- oder gmx-Passwort schicke ich ja auch ständig durchs Netz. Ganz zu schweigen vom Login bei meiner Bank. Und da sind die URLs ja auch jedem bekannt.
Richtig, die URLs sind jedem bekannt und durch die SSL Verschlüsselung kann niemand mit einer Man-In-The-Middle Attacke dein Passwort abgreifen, aber du kannst das Passwort ja ruhigen Gewissens auf dem Handy speichern, da es ja nur für deinen Account ist und kein Datenbank Passwort von eBay.
 
T

toomuchcoffeeman

Ambitioniertes Mitglied
Da sage ich ja auch nichts gegen.

Ich sage ja lediglich, dass beides verschlüsselt sein sollte. Sowohl auf dem Gerät gespeicherte Daten (nicht alle, aber sensible), als auch die Übertragung.
 
Ähnliche Themen - MySQL Passwort sicher? Antworten Datum
0