FTP Applet mit FTP-Server-Zugriff sicher gestalten

[Blackhole16]

Guten Morgen Java-Forum,

ich bin momentan dabei ein Applet zu schreiben, welches mit den FTP-Server, von dem es kommt, kommuniziert. Ich bin dabei, es sicher zu gestalten, damit die gesendeten Daten nur schwer fälschbar sind und der Server halbwegs sicher bleibt.
Da ich aber ein Einsteiger in JAVA bin (prog etwa ein 3/4 Jahr), habe ich mir teilweise auch Code irgendwie zusammengereimt, den ich (leider noch) nicht so ganz verstehe

Ich kommuniziere über eine URL-Connection mit PHP-Scripten auf dem Server über POST. Dazu habe ich 3 Scripte auf dem Server zu liegen: Mit dem 1. überprüfe ich, ob die Datei existiert. Mit dem 2. lese ich die Datei aus und mit dem 3. schreibe ich in die Datei:

1. Existiert die Datei?

<?php
  $filename = $_POST['var1'];
 
  if (file_exists($filename)) {
    echo "true";
} else {
    echo "false";
}
?>

Ich übergebe in JAVA per POST den Dateinamel als String. Ich frage nur ab, ob die Datei existiert und übergebe "true" oder "false".

2. Datei lesen:

<?php 
  $var1 = $_POST['var1'];
  readfile ($var1);
?>

Ich übergebe in JAVA per POST den Dateinamen als String. Hier wird der gesamte Inhalt der Datei, die ich mit POST angebe übergeben.

3. Schreiben:

<?php 
  $var1 = $_POST['var1'];
  $var2 = $_POST['var2'];
  $datei = fopen("$var1", "w+"); 
  fwrite($datei, $var2."");
  fclose($datei); 
?>

Hier übergebe ich den Dateinamen als String und den Text, der geschreiben werden soll.

Dies hier ist der Code in JAVA, mit dem ich die Scripte aufrufe:

url = new URL("http://server/Datei.php");
URLConnection uConn = url.openConnection();
uConn.setDoOutput(true);
OutputStream outStream = uConn.getOutputStream();
outStream.write(("var1=[DATEINAME]"/*beim Schreiben noch*/+"&var2=[TEXT]").getBytes());
outStream.close();
InputStream inStream = uConn.getInputStream();
int c = 0;
StringBuffer incoming = new StringBuffer();
while (c >= 0) {
  c = inStream.read();
  incoming.append((char) c);
}
inStream.close();
s = incoming.toString();

Damit übergebe ich die benötigten Daten von JAVA aus über (das sichere?) POST an das PHP-Script.

Wenn ich nun sichere Daten auf dem Server zwischenspeichern muss, verschlüssel ich diese mit dem commons-codec.jar:

new String(Base64.encodeBase64(StringUnverschlüsselt.getBytes()));

und speichere diese verschlüsselt auf dem Server. Wenn ich sie wieder benötige, hole ich sie mir verschlüsselt vom Server und entschlüssel sie:

new String(Base64.decodeBase64(StringVerschlüsselt.getBytes()));

Nun an die Sicherheitsspezialisten und Hacker (NICHT Cracker!!!) aus diesem Forum:

1. Ist der Weg, den ich benutze sicher?
2. Was kann an meinen Scripten verbessert werden?
3. Kann man das ganze sicherer gestalten? Und wie?

Wenn ihr antwortet wäre es nett, wenn ihr versucht, das ganze genau zu erklären und nicht eure Fachsprache benutzt, da ich, wie gesagt, nicht mal ein Jahr programmiere.

Danke im Voraus schonmal an alle Antworten.
mfg
BH16

PS: Mit diesem Post möchte ich gleichzeitig denjenigen einen Einstieg ermöglichen, die ähnliche Probleme wie ich haben, da ich sehr lange gebraucht habe, um diese Sicherheit (?) zu erstellen. Denn versucht einmal in Google etwas über POST zu finden, was nicht Deutsche Post heißt

 

[nillehammer]

So, wie Du es beschreibst, handelt es sich nicht um einen FTP-Server, sondern um einen HTTP-Server. Funktioniert Dein Java-Code für den Aufruf so überhaupt? Ich kann nämlich nicht erkennen, dass dort ein HTTP-Post gebaut wird. Einfach die Requestvariablen in den Outputstream zu schieben scheint mir etwas wenig. Füt das Absetzen von HTTP-Requests gibt es auch eine Apache-Bibliothek, die Dich dabei unterstützt (HttpComponents HttpClient Overview).

1. Ist der Weg, den ich benutze sicher?

• Nein, die Übertragung ist nicht verschlüsselt. Aber das muss auch nicht unbedingt.
• Deine PHP-Scripte übernehmen ungeprüft die Pfade und greifen damit auf das Dateisystem des Servers zu. Damit öffnest Du File-Inclusion Angriffen (bspw ../../Datei-Außerhalb-Des-Document-Root) Tür und Tor. Der einzige Schutz, den Du dann noch hast, sind die Dateiberechtigungen des Betriebssystems.
• Deine "Verschlüsselung" der Übertragung mit base64 ist keine. Die kannst Du Dir so schenken. Wenn wirklich verschlüsselt werden muss, nutze auch hier Bibliotheken, die Dich unterstützen. Ich kann hier leider keine empfehlen, deswegen nur der Verweis auf google.

2. Was kann an meinen Scripten verbessert werden?

Überlege Dir einen Ordner, für den Datenaustausch und sorge dafür, dass alle Operationen (Lesen/Schreiben) von Deinen Scripten nur unterhalb dieses Ordners ausgeführt werden.

3. Kann man das ganze sicherer gestalten? Und wie?

Schalte wenigstens noch einen Login vor, damit die User authentifiziert sind.

 

[irgendjemand]

als ich FTP und deinen nick gelesen habe wollte ich erst gleich wieder schreiben : LASS ES ...

als tipp : du verwendest HTTP ... nicht FTP ... *wie kommst du denn hier auf FTP ? ... etwa weil du files via FTP uploadest ... ach ne ... trotzdem ist die auslieferung an den browser via HTTP ... junge erlich ... lern doch wenigstens mal die fachbegriffe und deren abkürzungen ... ist ja grausam so einen schwachsinn zu lesen*

dessweiteren : das was du vorhast kann man einfach NICHT sicher machen ... denn in dem momment wo du es einem user ermöglichst daten zu uppen ... hast du keine kontrolle mehr darüber was geuppt wird *man kann alles so aussehen lassen als wäre es gültig*

BASE64 != verschlüsselung ... -> Base64 ? Wikipedia *auch hier gilt wieder : lerne erstmal die fachbegriffe bevor du mit ihnen um dich wirfst*

dann gibt es in PHP noch das array $_FILES ... dazu müsste man mal mit wireshark gucken was der browser da sendet ...
ist in zusammenhang mit input-type FILE gedacht ... vllt hilfe php.net oder selfhtml weiter ...

auch ist es unsicher da man mit hilfe von injection die pfade manipulieren kann und somit außerhalb des space kommen würde ... was natürlich an den fehlenden berechtigungen des servers scheitern sollte ...


wie ich dir bereits mehrfach sagte : das was du vorhast kann man einfach nicht sichern ...
du solltest dir also mal überlegen was genau du programmieren willst ... und vor allem auch mal n grundkurs in netz-sicherheit durchziehen ... weil bis jetzt alles was du gepostet hast schwachstellen hat die man mit einfachsten mitteln umgehen kann

auch ist eine verschlüsselung der verbindung sinnlos da man diese mit man-in-the-middle nach reverse-engineering deines codes nachbilden kann ...

 

[nillehammer]

[OT]
Hallo irgendjemand,

alle Punkte aus meinem Post umformuliert wiedergegeben und nebenbei noch ein paar Seitenhiebe auf den TO eingebaut. Ich will natürlich niemandem vorschreiben, was er im Forum macht. Aber so richtig einen Mehrwert schaffst Du dadurch nicht...:autsch:

Gruß nillehammer

P.S. Warte, das $_FILES-Array bei PHP, das war neu!
[/OT]

 

[Blackhole16]

So, wie Du es beschreibst, handelt es sich nicht um einen FTP-Server, sondern um einen HTTP-Server.

ja ok, ein bisschen unglücklich ausgedrückt, glaub ich. Ich habe einene FTP-Server, der auch über HTML zu erreichen ist. Somit rufe ich über HTML die PHP-Datei auf, die dann auf dem FTP-Server Dateien erstellt(oder zumindest kann ich sie über FTP abrufen). Über HTML werden nur read-Rechte gewährleistet.
Und wegen der POST-Übergabe: hier steht, dass mit meinem Script POSt übergeben wird. Außerdem läuft es ja, weshalb ich auch davon ausgehe.

Funktioniert Dein Java-Code für den Aufruf so überhaupt? Ich kann nämlich nicht erkennen, dass dort ein HTTP-Post gebaut wird.

Ja ich habe es ausprobiert, es läuft alles.

1. Nein, die Übertragung ist nicht verschlüsselt. Aber das muss auch nicht unbedingt.
2. Deine PHP-Scripte übernehmen ungeprüft die Pfade und greifen damit auf das Dateisystem des Servers zu.
3. Deine "Verschlüsselung" der Übertragung mit base64 ist keine. Die kannst Du Dir so schenken. Wenn wirklich verschlüsselt werden muss, nutze auch hier Bibliotheken, die Dich unterstützen. Ich kann hier leider keine empfehlen, deswegen nur der Verweis auf google.

zu 1. Wie kann ich die Verbindung verschlüsseln? Das geht doch nur über HTTPS, oder? Und das kostet leider etwas (oder auch etwas mehr . Aber wenn du sagst, dass das sowieso nicht sooo wichtig ist, dann muss ich mir darüber ja nicht weiter Gedanken machen

zu 2. Huch, stimmt, wäre mir gar nicht aufgefallen. Danke Wie kann ich das denn ändern?

zu 3. Eigentlich ging es mir eher darum, dass ich nicht möchte, dass jmd über HTTP diese Daten ohne Weiteres lesen kann... Auch falsch ausgedrückt, sry Und das wird damit ja schonmal behoben. Zuerst hatte ich den javaeigenen Decoder, der aber leider eine SecurityException: access denied schmeißt... Deswegen der Umstieg auf commons

Überlege Dir einen Ordner, für den Datenaustausch und sorge dafür, dass alle Operationen (Lesen/Schreiben) von Deinen Scripten nur unterhalb dieses Ordners ausgeführt werden.

Den Ordner hab ich. Aber wie kann ich das machen, dass nur in diesem Order geschrieben werden darf?

als ich FTP und deinen nick gelesen habe wollte ich erst gleich wieder schreiben : LASS ES ...

Das war mir aber so was von bewusst, ich hab schon auf dein Replay gewartet. Und mir war kalr, dass der definitiv nicht nett und hilfreich gemeint werden wird ;(

als tipp : du verwendest HTTP ... nicht FTP ...

siehe oben

dessweiteren : das was du vorhast kann man einfach NICHT sicher machen ... denn in dem momment wo du es einem user ermöglichst daten zu uppen ... hast du keine kontrolle mehr darüber was geuppt wird *man kann alles so aussehen lassen als wäre es gültig*

Du willst mir also erzählen, dass es ohne weiteres möglich ist jedes, aber auch JEDES Onlinegame zu kontrollieren und zu Hacken??? immerhin werden da ständig Dateien ausgetauscht, oder sehe ich das falsch


Danke nillehammer!, Danke irgendjmd...

mfg
BH16

PS @irgendjmd: hast du dich jetzt extra im JAVA-Forum registriert, um mich zu necken (oder wie man das auch höflich umschreiben möchte) =?

 

[freak_007]

Warum willst du eigentlich ein FTP Server schreiben? Du kannst doch SSH verwenden, dass ist sicherer und Zertifikate musst auch nicht kaufen. Da gibt es einfache Server Footprints. Schau es dir mal an.
Gruß,
Freak

 

[irgendjemand]

Du willst mir also erzählen, dass es ohne weiteres möglich ist jedes, aber auch JEDES Onlinegame zu kontrollieren und zu Hacken??? immerhin werden da ständig Dateien ausgetauscht, oder sehe ich das falsch

ähm ... ja ... das siehst du durch aus falsch ...

der unterschied zwischen einem "spiel" und dessen server ... und dem was du vor hast ist folgender

ein "game-server" erwartet von einem clienten bestimmte daten mit einer bestimmten syntax ... und prüft auch die gültigkeit dieser daten ... sind diese ungültig werden diese entweder verworfen oder als "angriffs-versuch" mit gegenmaßnahmen beantwortet *tempörärer / permanenter ausschluss aus dem spiel*

das was du versuchst : dem user ermöglichen irgendwelche daten auf irgendeinen server zu uploaden ohne das du diese daten sinnvoll prüfst ... und auch ohne das du bei eventuellen manipulations-versuchen effektive gegenmaßnahmen anwenden kannst ...

theoretisch kann man alles hacken ... es ist nur eine frage des aufwands und der zeit die man für die manipulation aufbringen muss

das wort "sicher" verwendet man im netz eh nich als synonym für "unhackbar" ... denn sowas gibt es nicht ... sondern eher für : "den aufwand so groß machen das es in keinem sinnvollen verhältnis zum nutzen steht"

PS @irgendjmd: hast du dich jetzt extra im JAVA-Forum registriert, um mich zu necken (oder wie man das auch höflich umschreiben möchte) =?

nein ... sondern wegen genau DIESEM post

 

[timbeau]

Du kannst auf jeden Fall wie du auch schon gemacht hast dir Teilaspekte überlegen, die man ohne Verschlüsselung sondern mit ein wenig Überlegung identifizieren kann.

Zum einen Werte die Pfade aus bevor du uploadest. Will jmd niocht in /root/upload sondern in /root/ was schreiben, ist das untersagt.

Bzgl verschlüsseln: Wenn es sich um die Kennung handelt:
Sicheres Programmieren in PHP - Wie kann ich Passwörter sicher speichern?

 

[Blackhole16]

Erstmal danke an eure guten Ideen die ihr mir liefert.

Du kannst doch SSH verwenden, dass ist sicherer und Zertifikate musst auch nicht kaufen. Da gibt es einfache Server Footprints. Schau es dir mal an.

Ich möchte es mir gerne anschauen und habe es auch schon versucht, aber noch keine Anleitung für Dummies wie mich gefunden...
Ich habe gelesen, dass es einmal eine FTP-Verbindung über SSH gibt, oder einen SSH-Server. Was der beiden meintest du und was macht da den großen Unterschied?
Kennt jemand vielleicht eine SSH Anleitung?

ein "game-server" erwartet von einem clienten bestimmte daten mit einer bestimmten syntax ... und prüft auch die gültigkeit dieser daten ... sind diese ungültig werden diese entweder verworfen oder als "angriffs-versuch" mit gegenmaßnahmen beantwortet *tempörärer / permanenter ausschluss aus dem spiel*

Also sollte ich in PHP den ankommenden String überprüfen, ob er auch meiner (normalerweise) übermittelten Syntax entspricht... Eigentlich eine gute Idee

das was du versuchst : dem user ermöglichen irgendwelche daten auf irgendeinen server zu uploaden ohne das du diese daten sinnvoll prüfst ... und auch ohne das du bei eventuellen manipulations-versuchen effektive gegenmaßnahmen anwenden kannst ...

und

Zum einen Werte die Pfade aus bevor du uploadest. Will jmd niocht in /root/upload sondern in /root/ was schreiben, ist das untersagt.

Reicht es schon, wenn ich den Datei-String auf '/' bzw. '\' überprüfe, oder wie kann ich relisieren, dass kein Ordnerwechsel stattfindet?

Bzgl verschlüsseln: Wenn es sich um die Kennung handelt:
Sicheres Programmieren in PHP - Wie kann ich Passwörter sicher speichern?

Das ist eine echt MEGA gute Idee. Warum bin ich darauf noch nicht selber gekommen :autsch: (rhetorische Frage )
Wobei bei md5 schon wieder steht, dass das schnell entschlüsselt werden kann... Aber ich denke, ich gehe da über hash().

Danke wieder für eure großartige Hilfe.

mfg
BH16

 

[irgendjemand]

"oder wie kann ich relisieren, dass kein Ordnerwechsel stattfindet"

in dem du überhaupt keine variable mitsendest die einen pfad enthält ...

schau dir mal das HTML input-type FILE an ... wenn man sich das mit wireshark ansieht wird dort auch nur der datei-name übermittelt ... aber keine pfade ...

aber an sich : auf dem server prüfen ob "/" bzw "\" enthalten sind ... sowie nach "~" ".." "." "#" ...

und wer bitte hat denn wieder geschrieben das MD5 was mit "verschlüsseln" zu tun hat ? ... MD5 ist ein HASH algo ... ENDE ...
und einen hash kann man nicht entschlüsseln *denn dann wäre er nicht sicher* ... sondern höchstens einen input ermitteln der den selben hash als ergebnis hat ...

wenn man schon hashes verwendet sollte man minimum SHA-512 verwenden ... das ist atm einer der "sicheren" algos *wobei der output auf 2^512 liegt ... wesshalb es auch nur 2^512 mögliche inputs gibt die einen anderen output liefern ... der hash der 2^512+1 permutation *also mit mindestens 513 bits* ist bereits vorhanden ... das ist nun mal der nachteil an hashes ... das ihre ergebnis-menge begrenzt ist*

 

[Blackhole16]

aber an sich : auf dem server prüfen ob "/" bzw "\" enthalten sind ... sowie nach "~" ".." "." "#" ...

ich denke, ich werde es so realisieren. Das scheint mir noch am einfachsten

und wer bitte hat denn wieder geschrieben das MD5 was mit "verschlüsseln" zu tun hat ? ... MD5 ist ein HASH algo ... ENDE ...
und einen hash kann man nicht entschlüsseln *denn dann wäre er nicht sicher* ... sondern höchstens einen input ermitteln der den selben hash als ergebnis hat ...

In der PHP-Doku steht, dass md5() sehr schnell arbeitet und deswegen unsicher und nicht zum Abspeichern von Passwörtern benutzt werden sollte. Aber wie gesagt werde ich hash benutzen.

wenn man schon hashes verwendet sollte man minimum SHA-512 verwenden ... das ist atm einer der "sicheren" algos *wobei der output auf 2^512 liegt ... wesshalb es auch nur 2^512 mögliche inputs gibt die einen anderen output liefern ... der hash der 2^512+1 permutation *also mit mindestens 513 bits* ist bereits vorhanden ... das ist nun mal der nachteil an hashes ... das ihre ergebnis-menge begrenzt ist*

Wieso als Minimun? Was ist denn besser (was hash() kann)?

Mit hash_algos() werden alle Hash-Varianten ausgegeben, die PHP-hash() kann:

    [0] => md2
    [1] => md4
    [2] => md5
    [3] => sha1
    [4] => sha224
    [5] => sha256
    [6] => sha384
    [7] => sha512
    [8] => ripemd128
    [9] => ripemd160
    [10] => ripemd256
    [11] => ripemd320
    [12] => whirlpool
    [13] => tiger128,3
    [14] => tiger160,3
    [15] => tiger192,3
    [16] => tiger128,4
    [17] => tiger160,4
    [18] => tiger192,4
    [19] => snefru
    [20] => snefru256
    [21] => gost
    [22] => adler32
    [23] => crc32
    [24] => crc32b
    [25] => salsa10
    [26] => salsa20
    [27] => haval128,3
    [28] => haval160,3
    [29] => haval192,3
    [30] => haval224,3
    [31] => haval256,3
    [32] => haval128,4
    [33] => haval160,4
    [34] => haval192,4
    [35] => haval224,4
    [36] => haval256,4
    [37] => haval128,5
    [38] => haval160,5
    [39] => haval192,5
    [40] => haval224,5
    [41] => haval256,5

Welche eignet sich jetzt für mein Vorhaben am Besten? Welche ist die Sicherste?

Danke wieder für eure Hilfe! Ich denke, dass mein Applet so schon sicherer (was im inet ja nix heißt ) wird. Wenn ihr noch weitere Ideen habt, immer her damit

mfg
BH16

 

[irgendjemand]

In der PHP-Doku steht, dass md5() sehr schnell arbeitet und deswegen unsicher und nicht zum Abspeichern von Passwörtern benutzt werden sollte. Aber wie gesagt werde ich hash benutzen.

es hat nichts mit der sicherheit zu tun ob ein algorythmus sehr effizient implementiert ist oder nicht ... so lange er die spezifikationen genau einhält und damit vollwertig seinem namen entspricht hat das nichts auszusagen *wobei natürlich eine implementierung mit mehr operationen auch eine größere fehleranfälligkeit hat gegenüber einer mit weniger*

MD5 ist desshalb "unsicher" da 1) er nur 128 bit als ergebnis hat und 2) bereits angriffe gegen diesen algo bekannt sind ...
außerdem gibt es riesige rainbow-tables mit MD5 hashes da dieser leider immer noch zu oft verwendet wird ...

wenn man bei google nach MD5 sucht gibt es einige seiten auf denen man einen input hashen lassen kann ...
sowohl der input als auch das ergebnis werden dabei gespeichert und so zu einer großen rainbow-table zusammengesetzt
viele dieser seiten ahmen die äußere erscheinung von google nach *großes logo , eingabefeld , button*
der sinn dahinter ist das meistens solche seiten genutzt werden um "sicher" geheime daten auszutauschen ...
der empfänger ruft dann die selbe seite auf wie der sender und fügt den hash ein ... dabei geben dann die meisten seiten den letzten input aus der diesen hash erzeugt hat ...

Wieso als Minimun? Was ist denn besser (was hash() kann)?

erstmal kommt es darauf an was alles in der cypto-lib installiert ist ... das kann man , wie du es ja bereits getan hast , herrausfinden ...
wenn man sich auf wikipedia über HASH algos informiert werden dort als "minimum" SHA-2 algos empfohlen ... also SHA-256 , SHA-384 und SHA-512
es gibt jedoch auch verfahren welche eine noch größere ergebnis-menge haben *gerade bei jeglicher art von digitalen zertifikaten trifft man auf "hoch-sichere" hash- und crypto-algos* ... jedoch entweder nicht sehr verbreitet sind oder wegen anderen gründen auf einen bestimmten einsatz beschränkt sind

was genau das zielsystem nun unterstützt weis ich nicht ... du solltest aber minimum SHA-256 oder höher verwenden *ich persönlich verwende SHA-512 nicht wegen der erhöten sicherheit ... sondern schlicht auf grund der größeren ergebnis-menge*

Danke wieder für eure Hilfe! Ich denke, dass mein Applet so schon sicherer (was im inet ja nix heißt ) wird. Wenn ihr noch weitere Ideen habt, immer her damit

mfg
BH16

wie gesagt : so lange du nichts auf server-seite unternimmst um die daten vom client zumindest einer groben prüfung zu unterziehen ist es egal wie "bombensicher" dein client ist ... spätestens durch de-compiling und packet-sniffing wird man an die nötigen infos kommen und einen weg finden diese zu manipulieren ...
erst wenn du auf server-seite was dagegen unternimmst *ein angreifer kann z.b. nie den source einer ausgeführten PHP-datei sehen *zumindest sollte das so sein** und die daten die du bekommst zumindest grob prüfst *z.b. : stimmen die daten mit dem überein was du erwartest ... oder : folgen sie einer bestimmten syntax mit prüfsummen* wird das ganze "etwas" sicherer ...

 

[freak_007]

Um zu verhindern damit das md5 mit rainbow tables gehackt wird, kannst du die Passwörter salzen. SSH wird ein wenig kompliziert sein in Java zu verwenden, weil keine JavaDoc davon veröffentlicht worden ist. Noch dazu muss jeder Benutzer ein SSH key besitzen.Tutorials gibt es auch nicht wirklich. Übrigens mit ssh ftp zu erreichen nennt sich tunneln. Ich weiß nicht ob die Verbindung verschlüsselt ist.
Gruß,
Freak