Verifica i file di dati esterni per un'applicazione

Naviga le tue risposte
1

Ho un'applicazione C ++ con un algoritmo, il cui utilizzo voglio proteggere. L'applicazione necessita di diversi file di dati di input per funzionare (quelli possono cambiare per ogni client).

Il mio obiettivo è quello di consentire solo file di dati di input inalterati che sono stati registrati per l'uso.

I miei pensieri correnti sono:

  • Il client ha i file di input come testo
  • Calcola un hash da ciascun file e memorizza l'hash nel file binario. (Consegna un nuovo binario dopo ogni registrazione.)
  • Consenti solo file di input con hash memorizzato.

So che è un approccio molto basilare. Cosa suggeriresti per renderlo più robusto?

So che non esiste una sicurezza al 100%, sto solo mirando a un compromesso ragionevole tra l'implementazione della sicurezza e la semplicità di hacking della mia applicazione.

    
posta Mike M 18.03.2014 - 15:51
fonte

1 risposta

1

Forse questa soluzione ti sta benissimo, la sicurezza riguarda sempre i rischi che sei disposto a prendere.

Potrei scriverti come una firma sarebbe un approccio molto migliore alla tua soluzione dato che tu sei l'unico che sarà in grado di "firmare" gli "hash" in modo che nessun altro possa generare un file arbitrario e semplicemente cancellarlo .

Ma forse, questo approccio è molto più scomodo per te perché porta più entropia e lavoro con certificati, sviluppo ... E, sai, anche questo può essere aggirato spezzando l'eseguibile e mettendo un mucchio di jmps ...

Quindi, forse, il tuo approccio va bene, il problema principale è che chiunque può cancellare un file, quindi chiunque sarà in grado di usare la tua app se conoscono quel trucco (potresti pensare di "inventare" il tuo hash, ma qualcuno qui raccomanderà contro di esso poiché è un "approccio di sicurezza per oscurità").

La domanda qui è: quanto è prezioso il tuo software, quindi qualcuno è disposto a reprimerlo? Se pensate, beh, non molti utenti penseranno a craccarlo, o la maggior parte dei miei utenti non è di tipo tecnico e non credo che lo violeranno ...

    
risposta data 18.03.2014 - 16:40
fonte

Leggi altre domande sui tag

Autenticazione MySQL, come riempire il sale da 20 byte Come esattamente le funzioni fisicamente non clonabili usate nell'autenticazione se non sono clonabili?