MySQL Passwort sicher?

[knuppel]

Hallo,

über Arduino bin ich auf Processing gestoßen. Damit kann man auch Android Apps in Java schreiben.
Ich habe dann eine App geschrieben, die meinen Standort in eine MySQL Datenbank speichert. Die Verbindung habe ich im Processing Sketch hergestellt, folglich ist dort auch der MySQL Server, Benutzername und Passwort vorhanden. Meine Frage ist nun, ob jemand die APK so auslesen könnte und an meine MySQL Login Daten kommen könnte?

 

[finnq]

Ja, das ist normalerweise gar kein Problem das auszulesen. Falls du die App so heftig obfuskiert hast, dass der, naja nennen wir ihn mal, "Hacker" die Lust verliert, kann er das Passwort immer noch in ein paar Sekunden mit Sniffern abfangen, solange deine Verbindung nicht verschlüsselt ist.

-> Niemals, aber auch wirklich nie, sollten solche Passwörter in Apps gespeichert werden. Eine Möglichkeit das zu umgehen, währe z.B. auf dem Server ein PHP Script einrichten, welchem man die Daten per GET oder POST übergibt und welches diese Daten dann in die Datenbank einträgt.

BG finnq

 

[knuppel]

Ok, schonmal gut zu wissen. Aber ist GET denn dann auch Sicher. Hier wird ja eine Url aufgerufen, zum Beispiel http://www.irgendneseite.de/schreibe.php?punkte=1000&user=knuppel

Das könnte er dann doch bestimmt auch irgendwie auslesen und dann manipulieren.

 

[ChrisiBoy]

Deswegen solltest du den Text per POST senden (Kann man nicht so leicht anfangen)

Sent from my GT-I9100 using Android-Hilfe.de App

 

[finnq]

Was soll denn an POST schwieriger auszulesen sein? Die Daten können natürlich abgefangen werden, aber die MySQL Passwörter usw. nicht. Dir könnte dann natürlich jemand die DB zuspammen, aber da gibt es auch Möglichkeiten, die Gefahr zumindest zu verringern.

//tapatalked / Nexus 4 / CM10.1 F'Bs

 

[ChrisiBoy]

Stimmt ^^
Bin schon etwas müde...
Ich schreibe auf meine Server seitige Datenbank per $_GET in PHP. (/script.php?item1=hallo&item2=Hallo%20auch)

 

[toomuchcoffeeman]

Man kann die Gefahr aber auch massiv reduzieren, indem man SSL für die Übertragung verwendet.

Mein ebay- oder gmx-Passwort schicke ich ja auch ständig durchs Netz. Ganz zu schweigen vom Login bei meiner Bank. Und da sind die URLs ja auch jedem bekannt.

Also sensible Daten immer verschlüsselt schicken.

Kannst die Daten in der App auch noch mal extra verschlüsseln und auf dem Server wieder entschlüsseln, aber das wäre meiner Meinung nach ein bissl viel des Guten.

Sehr viel sicherer wirst Du es ohne einschlägiges Know-How eh nicht hinkriegen, denn so oder so: Am Ende schickst Du (mindestens) ein Datenpaket durchs Netz.

 

[knuppel]

Ich würde gerne eine App erstellen, die den aktuellen Standort (auf Wunsch) an buddypress (Wordpress Community Plugin) schickt. Nur wie krieg ich die Daten am sichersten zum Server.

 

[JanF]

Was spricht denn dagegen, das Passwort (einmalig) eingeben zu müssen? Wenn es im Datenbereich der App gespeichert wird, braucht man immerhin root rechte, um es auslesen zu können. Natürlich kann man auch einen Hash des Passworts dort speichern und sich auf dem Server dann mit diesem Hash einloggen - ändert nicht mehr an der Tatsache, dass sich auf dem Server einloggen kann, man an das auf dem Handy gespeicherte Passwort gekommen ist.
Aber, in meinen Augen ist es wesentlich einfacher an ein in der .apk hard codiertes Passwort zu gelangen, als an ein vernünftig auf dem Handy gespeichertes.


P.S.:
Wenn Du den Weg über das php script gehen willst, kannst Du die Daten auch "signieren". Dann kann man die Datenbank nur zuspammen, wenn man weiß, wie signiert wird, jedoch keinen größeren Schaden anrichten. Zum signieren kannst Du wiederum das Passwort im richtigen Bereich des Handies speichern.

 

[finnq]

Mein ebay- oder gmx-Passwort schicke ich ja auch ständig durchs Netz. Ganz zu schweigen vom Login bei meiner Bank. Und da sind die URLs ja auch jedem bekannt.

Richtig, die URLs sind jedem bekannt und durch die SSL Verschlüsselung kann niemand mit einer Man-In-The-Middle Attacke dein Passwort abgreifen, aber du kannst das Passwort ja ruhigen Gewissens auf dem Handy speichern, da es ja nur für deinen Account ist und kein Datenbank Passwort von eBay.

 

[toomuchcoffeeman]

Da sage ich ja auch nichts gegen.

Ich sage ja lediglich, dass beides verschlüsselt sein sollte. Sowohl auf dem Gerät gespeicherte Daten (nicht alle, aber sensible), als auch die Übertragung.

 

[knuppel]

Nun ja, im Moment weiß ich erstmal nicht wie ich es am besten machen soll

Eine Frage noch, da ich auch Java Neuling bin, wollte ich fragen ob dieses Buch geeignet ist, als Java-mit-Android Einstieg: Java für Android: Native Android-Apps programmieren mit Java und Eclipse: Christian Bleske: Bücher | DigPin: Die digitale Pinwand oder sollte ich erst ein bisschen Java unabhängig von Android lernen?