Update Prüfen?

  • Themenstarter Themenstarter Mikrowelle
  • Beginndatum Beginndatum
M

Mikrowelle

Update auf echtheit Prüfen?

Hallo

Neulich bin ich durch eine Sicherheitslücke von ICQ auf meine eigene Updatefunktion aufmerksam geworden.

Undzwar wird dabei ein Link aus einer xml rausgelesen und von diesen dann runtergeladen.
Sollte also jemand die xml datei manipulieren, könnte man sonstwas aus dem Internet nachladen.

Wie könnte man sicherstellen das die Updatefunktion wirklich auch nur die von mir herausgegeben Updates zieht?

Danke
Samy
 
Zuletzt bearbeitet von einem Moderator:
Ich rede hier nicht von was alles "hackbar" ist.

Wenn ich eine Schwachstelle in meinem Programm sehe, dann will ich diese beheben.
Ganz einfach! Aber hier wird meine Meinung nicht geteilt und das ist auch ok so... trotzdem

... bitte ich ausdrücklich um hilfereiche Posts die auf meine Frage eingehen, nicht wie ich diese ignorieren kann.

Danke
 
Hallo,

Das was du meinst ist eigentlich keine Sicherheitslücke.
Wenn jemand die XML-Datei manipulieren kann, hat derjenige sowieso schon Zugriff zu deinem PC und wenn das der Fall ist kann er ganz andere Sachen machen, als diese XML zu manipulieren.
Sicherheitslücken sind meist Programmierfehler, durch die ein Hacker dann Schadcode direkt in den Arbeitsspeicher und zur Ausführung bringt.

Das bei dir ist eine normale Config-Datei. Mit der Update-URL in einer XML lösen es viele Programme.

Eine Möglichkeit das Update zu überprüfen, wäre halt, dass du mit einem Programm testest, ob die richtige Datei runtergeladen wurde. Dies könntest du beispielsweise machen, indem du die Update-Datei signierst. Wenn es dann nicht die Datei ist, kannst du sie von deinem Programm ja löschen lassen.


Gruß

Sascha
 
Zurück