[C/C++] - Client-Server Anwendung - Thema: Sicherheit

Hi Leute!

Kumpel von mir hatte eine Idee, die wir nun umsetzen wollen.
Habe nun an euch ein paar Fragen wegen der Sicherheit der Anwendung.

Es geht um eine Client-Server Anwendung:
- 2 Programme (1x Client; 1x Server)
- Client läuft lokal auf einem PC oder Laptop
- Server läuft auf einem anderen PC oder evtl. Webserver

Aufgabe vom Client:
Im Client werden von verschiedenen Benutzern Werte eingegeben,
welche an den Server (Datenbank) gesendet werden sollen.
Außerdem sollen diese Werte vom Client auch abgefragt werden können.

Aufgabe vom Server:
Der Server soll im Prinzip eine Datenbank sein, in der alle Werte
gespeichert werden und vom Client abrufbar sind.
Dabei wird es Benutzer, Kennwörter und verschiedene Werte geben.

---
Jetzt zu meinen Fragen:
1. => Sollte ich sowas eher mit C++ umsetzen oder evtl. mit PHP als Web-Interface?
2. => Welche der beiden Varianten wäre einfacher gegen Manipulation zu schützen?
3. => Was muss ich jeweils beachten, um Daten bei der Übertragung zu "sichern"?
---

Ich hoffe ihr habt ein paar hilfreiche Antworten für mich!

1. Wenn es keine MEGA-ANWENDUNG ist, dann würde ich PHP + MySQL
empfehlen. Da lassen sich einfach viel schneller solche Anwendungen
schreiben. C++ ist dafür einfach nicht ausgelegt. (imho)

2. Wenn man stets auf die Sicherheit achtet und ein gutes Komnzept hat,
dann können Daten auch nicht so schnell manipuliert werden. Da denke
ich aber, dass man sich mit PHP besser schützen kann, da der Anwender
nicht direkt nachstellen kann, was an der Server geschickt wird.
(Server arbeitet das Script ab)
Bei C++ könnte man schon eher Daten manipulieren. Sniffen ist ja keine große Kunst.
Wenn man versucht viele Risikofaktoren auszuschließen, ist PHP wohl die bessere Wahl.

3. siehe 2.

greez

//PS: Zur Sicherheit von Webanwendungen kann dir sicher das Webmaster-Forum mehr helfen

zu 1.: Genau diese Vermutung hatte ich im Prinzip auch. Habe
selber schon Anwendungen in PHP geschrieben, die ich vorher in großem
Umfang in C++ hatte.

zu 2.: Ich glaube bei PHP ist der große Vorteil genau der den du erwähnt hast (Thema Sicherheit)
=> Server arbeitet das Script ab... <= daher wird es wohl wirklich PHP werden!


Zitat:

Zitat von cable [...] Wenn man versucht viele Risikofaktoren auszuschließen, ist PHP wohl die bessere Wahl. [...]

Kannst du (oder jemand anderes) mal ein paar Beispiele dafür bringen?

---
Soweit erstmal vielen Dank für deine Antwort!
Wenn sich hier nichts weiter ergibt was für C++ spricht, werd ich das Thema wohl in der Webtechnik weiterführen.


greetz

PHP mit SSL is am einfachsten, denn da übernimmt der Browser die Sicherung der Leitung.

Aber wenn du das ganze per C++ machen willst:
http://de.wikipedia.org/wiki/Schlüss...auschprotokoll
http://de.wikipedia.org/wiki/Diffie-...üsselaustausch

Und dazu dann eine Verschlüsselung wie:
http://de.wikipedia.org/wiki/Advance...ption_Standard

Und zur Sicherung noch:
http://de.wikipedia.org/wiki/Message...ntication_Code

mfg r90

Bzgl sicherheit würde ich dir einfach raten, das ganze ip-range basiert
zu machen, oder vielleicht sogar mac-basiert - so wie es einige
ftp-daemons machen. Und wenn die ip nicht passt, lässt du den server
einfach die verbindung refusen - da wirkt dann sogar der port bei nem
portscan als geschlossen. Das macht natürlich nur sinn, wenn man eine
übersichtliche zahl an client hat, erhöht die sicherheit jedoch immens.
Ich denke aber auch bei 200-300 clients sollte das klappen. Zuerst
überprüfen ob die ip, die connected generell einer der vielen ip ranges
die du geadded hast entspricht, und danach user/pwd/wasauchimmer
abfragen.

1)
Client -> ConnectServer()

2)
Server -> If InStr(Ranges,Client(iprange)) <> 0 Then -> Ask Pwd
Else -> Connection Refused

3)
Client -> Send User/pwd

4)
Server -> Check user/pwd -> valid: Welcome!

Zitat:

Zitat von cable 2. Wenn man stets auf die Sicherheit achtet und ein gutes Komnzept hat, dann können Daten auch nicht so schnell manipuliert werden. Da denke ich aber, dass man sich mit PHP besser schützen kann, da der Anwender nicht direkt nachstellen kann, was an der Server geschickt wird. (Server arbeitet das Script ab) Bei C++ könnte man schon eher Daten manipulieren. Sniffen ist ja keine große Kunst. Wenn man versucht viele Risikofaktoren auszuschließen, ist PHP wohl die bessere Wahl.

In php is alles bis auf die eingabe tatsächlich server sided. In
C++ kannst dir aussuchen was denn genau server sided und was client
sided geschieht. Ich weiß jetzt nich was du genau machen willst aber
PHP sollte bei kleinen dingen deutlich schneller zu schreiben sein. Bei
C++ hast den vorteil dass du unbedenkliche Operationen ohne Verlust von
Sicherheit auf dem Client ausführen kannst und dadurch den Server
entlastest. Außerdem sollte dein eigener Server deutlich weniger
Resourcen als eine PHP umgebung benötigen (sofern du dich nicht ganz
dumm anstellst beim programmieren oO).

Die Aussage das eine Lösung mit PHP grundsätzlich sicherer als C++ wäre halte ich für Blödsinn.

Damelon The Cool Man schrieb:

(sofern du dich nicht ganz
dumm anstellst beim programmieren oO).

Er Stellt sich immer dumm an