Alexander (HH): Java-Applet für den Dateiupload

Beitrag lesen

Moin Moin!

Wenn das Applet eine Chance haben soll, sich per FTP einzuloggen, muß es die Zugangsdaten zum FTP-Server übertragen. Daraus folgt: Die Zugangsdaten müssen im Applet vorhanden sein oder dem Applet per Parameter oder HTTP mitgeteilt werden. Selbst wenn das verschlüsselt passiert, muß das Applet den Entschlüsselungsalgorithmus enthalten.

Einige mögliche Angriffsvektoren:
* Applet decompilieren
* Man-in-the-Middle-Angriff per Proxy
* DNS-Eintrag für den FTP-Server lokal überlagern (z.B. per lokalem DNS-Server oder /etc/hosts) und einen gefakten FTP-Server aufsetzen, der die Zugangsdaten loggt.
* Netzwerk-Verkehr abhören

Kurz gesagt: Du wirst der ganzen Welt deine FTP-Zugangsdaten mitteilen. Dumme Idee.

Bitte den Provider, die Upload-Sperre zu beseitigen. Das könnte ggf. eine Vertragsänderung nach sich ziehen.

Alexander

--
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".