Zitat Zitat von NeoGriever Beitrag anzeigen
Hm. da werd ich in meinen vmsr-installer wohl doch einen datei-viewer einbauen müssen. Derzeit sind sämtliche Dateien darin base64 verschlüsselt im installer untergebracht.
Hallo NeoGriever,
auch das halte ich für sehr gefährlich, da es eine Sicherheit vorgaukeln kann, die nicht gegeben ist.
Konkret: Falls jemand eine manipulierte VMS-R-Distributionsdatei verschickt, könnte sehr einfach eine schadhafte Datei (à la VMS-Sicherheitsdatei aus Skriptkaufhaus) eingebaut sein; beim Betrachten wird jedoch der Inhalt eines anderen base64-Strings angezeigt. Dies lässt sich nur überprüfen, indem man die Codestruktur bis zur tatsächlich angezeigten Quelle zurückverfolgt, was je nach Aufwand des Schädigenden schon recht mühselig werden kann. Beim FWX ist das schon sehr mühselig, was ein Grund ist, weshalb ich meine vor langer Zeit erworbene FWX-Lizenz nicht auf einem Produktivsystem zum Einsatz bringen würde, weil es viel zu viel Aufwand bedeutet, da alles auf Sicherheitslücken zu prüfen (man kann natürlich glauben, das alles sicher ist; irgend jemand wird einem das schon versprechen ). Wenn das VMS-R denselben Weg geht, hat sich das für mich auch erledigt, da es keine für mich erkennbar zwingende Notwendigkeit zur base64-Codierung gibt.

Mir ist auch nicht klar, was dagegen spricht, die jetzt als base64-Strings vorliegenden Dateien als zB Textdateien abzulegen (wenn sie nicht als php-Dateien vorliegen sollen) und bei der Installation zu inkludieren.

Sämtliche in den Installationsdateien enthaltenen Prüfverfahren (CRC-Summe etc. pp.) können manipuliert sein (was selbstverständlich auch bei nicht codiertem Code der Fall sein kann). Daher ist lesbarer Quell- resp. php-Code m. E. schon die beste/einfachste Methode für die an der Installation Interessierten, den Code nachzuvollziehen.

VG