HWID System erweitern

[Whoknowsit]

Moin,

ich hätte einen Vorschlag bzw. eine Bitte zum HWID System.

Dass das System komplett unsicher ist, muss ich ja nicht erwähnen. Ohne Zertifikat oder dergleichen kann man als Entwickler auch nicht gewährleisten, dass ein Nutzer einer Anwendung das System nicht einfach durch einen Eintrag in der hosts-Datei oder mit Hilfe eines Proxies umgeht.

Etwas derartiges wäre wünschenswert, zumal für diesen Zweck auch ein kostenloses Zertifikat von CACert oder sonst wo reichen würde.

Zum Anderen wäre es wünschenswert, wenn bei jeder API-Anfrage der aktuelle Timestamp des Servers zurückgegeben werden würde. Denn ein anderes Problem, welches ich in diesem System sehe ist, dass man das Registrierungsdatum eines Users nicht als Kriterium für die Nutzung seiner Anwendung nutzen kann. Was ein Vergleich mit der Systemzeit des Nutzers bringt, wird man sich ja denken können.

Das Problem könnte man derzeit umgehen, indem man zeitgleich einen externen Dienst aufruft und die Zeit mit selbigen abgleicht. Da wäre es um Längen einfacher, wenn man von der API einfach noch diese Zeile zurückgeliefert bekäme:

Code:

<servertime>TIMESTAMP</servertime>

[MrSm!th]

Und dann? Ein geschickter Reverser wird immer noch so einen einfachen Schutz in Sekunden aushebeln. Es kommt darauf an, wie du das ganze implementierst, ansonsten nützt der sicherste Traffic nichts.

Hab es aber auch schon damals erwähnt, ich halte unverschlüsselten Traffic von ein paar XML Daten auch für ziemlich sinnlos, da man das auf viele Arten manipulieren könnte. Eine Verschlüsselung, Zertifizierung und Time Stamps wären eine gute Ergänzung. Dennoch musst du dann natürlich das ganze gut umsetzen.

Das System ist eh in einer Art Testphase und war gar nich als 100% sicheres System gedacht.

[Whoknowsit]

Ich erwarte auch kein 100% sicheres System. Aber es schadet sicher nicht, das was man hat, zu erweitern. Denn so wie es zur Zeit ist, ist es nicht unbedingt zu gebrauchen.