Hallo,

habe nun, nachdem die Suche hier wieder funktioniert, eine Lösung von michIG gefunden, die genau das tut, was ich brauche. Das Ding habe ich in eine statische Klasse verpackt, so dass ich diese im Ergebnis mit einer Befehlszeile verwenden kann (Namespace ggf. anpassen):

using System;
using System.IO;
using System.Security.Cryptography;
using System.Text;

namespace CCRM.Tools.Misc
{
    /// <summary>
    /// Verschlüsselung
    /// </summary>
    /// <remarks>
    /// Source für die String-Verschlüsselung von michIG von myCSharp.de
    /// </remarks>
    static public class TripleDES
    {
        /// <summary>
        /// Diese Methode verschlüsselt den mitgegebenen String
        /// </summary>
        /// <param name="plainMessage">Zu verschlüsselnder String</param>
        /// <param name="password">Passwort mit dem der String verschlüsselt werden soll</param>
        /// <returns>Den verschlüsselten String</returns>
        public static String Encrypt(String plainMessage, String password)
        {
            TripleDESCryptoServiceProvider des = new TripleDESCryptoServiceProvider();
            des.IV = new byte[8];
            PasswordDeriveBytes pdb = new PasswordDeriveBytes(password, new byte[0]);
            des.Key = pdb.CryptDeriveKey("RC2", "MD5", 128, new byte[8]);
            MemoryStream ms = new MemoryStream(plainMessage.Length * 2);
            CryptoStream encStream = new CryptoStream(ms, des.CreateEncryptor(), CryptoStreamMode.Write);
            byte[] plainBytes = Encoding.UTF8.GetBytes(plainMessage);
            encStream.Write(plainBytes, 0, plainBytes.Length);
            encStream.FlushFinalBlock();
            byte[] encryptedBytes = new byte[ms.Length];
            ms.Position = 0;
            ms.Read(encryptedBytes, 0, (int)ms.Length);
            encStream.Close();
            return Convert.ToBase64String(encryptedBytes);
        }

        /// <summary>
        /// Diese Methode entschlüsslt den mitgegebenen String
        /// </summary>
        /// <param name="encryptedBase64">zu entschlüsselnder string</param>
        /// <param name="password">Passwort mit dem der String verschlüsselt wurde</param>
        /// <returns>Den entschlüsslten string</returns>
        public static String Decrypt(String encryptedBase64, String password)
        {
            TripleDESCryptoServiceProvider des = new TripleDESCryptoServiceProvider();
            des.IV = new byte[8];
            PasswordDeriveBytes pdb = new PasswordDeriveBytes(password, new byte[0]);
            des.Key = pdb.CryptDeriveKey("RC2", "MD5", 128, new byte[8]);
            byte[] encryptedBytes = Convert.FromBase64String(encryptedBase64);
            MemoryStream ms = new MemoryStream(encryptedBase64.Length);
            CryptoStream decStream = new CryptoStream(ms, des.CreateDecryptor(), CryptoStreamMode.Write);
            decStream.Write(encryptedBytes, 0, encryptedBytes.Length);
            decStream.FlushFinalBlock();
            byte[] plainBytes = new byte[ms.Length];
            ms.Position = 0;
            ms.Read(plainBytes, 0, (int)ms.Length);
            decStream.Close();
            return Encoding.UTF8.GetString(plainBytes);
        }
    }
}

in der datenbank speichert man normalerweise nur den md5 hash. Somit kann weder Betreiber, noch ein potentieller Hacker das Passwort auslesen, wenn er sich die Daten anschaut. Zum abgleichen bildet man einfach von der User-Eingabe wieder den Hash und prüft diesen.

Nun ist es aber recht unkomfortabel und unsicher, wenn der Benutzer einer Anwendung das Datenbank-Kennwort kennen muss, um das Programm nutzen zu können. Jeder Benutzer hat sein eigenes Kennwort, um die Software bedienen zu können, aber die Software selbst sollte schon ohne äußere Hilfe mit dem Datenbank-Server kommunizieren können. Meiner Meinung nach jedenfalls.

Vielen Dank für die Anmerkungen.

Hinrich

Hallo,

da die Suche leider zu einem Fehler führt, möchte ich die Frage hier einmal stellen.

Ich suche eine einfache (= einzeilige) Lösung, einen einfachen String mit einem Kennwort hinreichend sicher zu verschlüsseln (und natürlich auch wieder zu entschlüsseln). Den Schlüssel möchte ich fix im Source einbauen.

Konkret geht es um die Verschlüsselung des Datenbankkennworts in der Registry, so dass nicht jeder Hans und Franz selbiges auslesen kann.

Any hints?

Hinrich

Hallo,

die Suche funktioniert (bei mir) leider nicht:

Das ist zwar alles etwas OT, aber sei's drum, denn eigentlich ist es logisch:

Denn warum "0" == 0 ist, ist mir noch klar, aber warum in der tat für jeden string string == 0 ist verstehe ich nicht.

Es war einmal vor langer Zeit ein Compiler. Wenn man dort mit Hilfe der mitgelieferten Systembibliothek (Neudeutsch: Library) aus einer Zeichenkette eine Zahl extrahieren wollte, so wurde aus "0123test" vielleicht nicht ganz logisch, aber verständlich und bequem für den Programmierer 123. Und in der Konsequenz wurde das Ergebnis einer Zeichenkette, die keine Ziffern am Anfang enthielt, 0.

Die Entwickler von PHP haben das wohl übernommen, denn in der Konsequenz geht folgendes:
[php]
<?php
$testString1 = "0123test";
$testString2 = "test0123";
echo "$testString1 == 123 => " . (($testString1 == 123) ? "True" : "False") . "\n";
echo "$testString2 == 123 => " . (($testString2 == 123) ? "True" : "False") . "\n";
?>
[/php]
Die Ausgabe ist dann auch wie in diesem Kontext erwartet:

hd@lan:~> php -f test.php
$testString1 == 123 => True
$testString2 == 123 => False
hd@lan:~>

Dieser völlig verwahrloste Umgang mit Datentypen hat dann einige Entwickler wohl dazu getrieben, zumindest Elemente in die Sprache zu bringen, die Typenschärfe zeigen, wenn sie schon nicht strenge Typen insgesamt durchsetzen können. Und so entstanden dann eben die (imho) sehr hilfreichen Operatoren \=== und !==.

(mir fiele aber kein konkreter Anwendungsfall ein)

Nun, PHP ist eine Skriptsprache, bei der man es mit Typen nicht so genau nimmt. Warum auch? Es geht doch darum, schnell einen Batch On The Fly zu erledigen. Und die mit PHP zusammengeschraubte Web-Site nutzt intensiv Zeichenketten, vor allem aus dem Array $_REQUEST. Da ich mal davon gehört habe, dass es sinnvoll sein könnte, Variablen aus diesem Array einer etwas gründlicheren Prüfung zu unterziehen (keine Ahnung, wieso eigentlich), bleibt einem kaum eine Funktion wie strpos erspart. Die liefert aber $needle aus dem Heuhaufen als 0-basierten Index und FALSE wenn der Heuhaufen doch nicht pikt. Und ich könnte mir vorstellen, dass die Erkennung einer Zeichenkette wie "; DROP TABLE ..." durchaus für den einen oder anderen von einem gewissen, wenngleich untergeordnetem Interesse sein könnte...

In C# und sonstigen streng typisierten Sprachen ist so ein Operator eh überflüssig.

Eben.

Um eine schrittweise Umstellung zu ermöglichen möchte ich jedoch ganze Teile in Delphi als Modul anlegen und erst einmal weiternutzen.

Warum drehst Du den Spieß nicht um und lagerst konvertierte Teile in in C# geschriebene DLL's aus? Die sollte Delphi verarbeiten können, und so die endgültige Konvertierung des Hauptprogramms am Ende der Migration stehen.

Fragend, Hinrich

Keiner 'ne Idee?

Danke für den Hinweis. Aber am Server ist in der Zeit nichts los. Der zugehörige Thread ist im SLEEP-Modus und wartet auf Anfragen.

Hallo,

ich wollte gerne Crystal Reports nutzen, was auch soweit funktioniert (mühsam). Nun dauert es aber Ewigkeiten (30s), bis der Bericht angezeigt wird. Der Hänger entsteht dabei in der Methode SetDataSource(DataSource ds).

Übergeben wird eine DataSource, die zwei Tabellen enthält, nebst MySqlTableAdapter.

Wo kann ich das kleine Männchen suchen, das so lange die Handbremse zieht?

Schönes WE,
Hinrich

Die Leute sollten schon wissen was Sie tun, und dass 2 Leute dieselebn Datensätze bearbeiten deutet eigentlich eher darauf hin, dass in der Arbeitsteilung in der Firma etwas nicht funktioniert.

Das sehe ich etwas anders, wobei das Vergessen des offenen Vorganges in der Tat ein qualitatives Problem ist. Allerdings eines in der Person des Sachbearbeiters.

In einer Firma kann es aber durchaus zu einer solchen Situation kommen. Gerade bei kleineren Firmen (unter 10 Mitarbeiter) kommt vielen Mitarbeitern häufig eine ganzheitliche Betrachtung eines Vorganges zu.

Wahrscheinlich wird ein Logging ausreichend sein, so dass der zweite Nutzer, der auf einen Datensatz zugreift, eine Meldung bekommt. Nachts, zu einer definierten Zeit, wird dann das Logbuch auf dem Server einfach zurückgesetzt. Das Restrisiko dürfte dann unter 0,01% liegen.

Schönen Sonntag.
Hinrich

Hallo,

ich hätte diese Frage auch in dem Forum Datentechnologien stellen können, meine aber, dass sie hier besser aufgehoben ist. Also lasst uns bitte nicht darüber streiten.

Mein Projekt verarbeitet Daten, die auf einem zentralen (Intranet-) Server mit MySQL verwaltet werden. MySQL kam aus mehreren Gründen zum Einsatz: Ich kenne mich mit den SQL-Möglichkeiten und dem Syntax gut aus, der Server läuft unter Linux und die Lastverteilung entlastet die Clients. Hinzu kommt, dass ein Teil der Daten regelmäßig extrahiert und auf einen Web-Server kopiert werden soll, wo diese dann mittels PHP auf einer Web-Site verwendet werden.

Bisher habe ich mich in der Frage Datenkonsistenz in Client/Server-Fragen nur auf der Ebene von PHP-Skripten bewegt, wo diese Frage zwar in gleicher Form auftritt, aber m. W. bisher nicht wirklich thematisiert wurde.

Ein Client A ruft den Datensatz X auf, um ihn zu bearbeiten, hält ihn also in einer Maske. Der Anwender unterbricht seine Tätigkeit, ohne den Vorgang selbst abzubrechen, weil jemand anruft oder so, vergisst seine Tätigkeit, da er die Maske wegen des Bildschirmschoners nicht mehr sieht, geht zu Tisch und danach ins den Feierabend.

Am Client B möchte jemand anderes in diesem Zeitfenster etwas ändern.

Ein Record-Lock scheint mir wenig hilfreich, da Client A z. B. durch Windows Update einen Reboot durchführen könnte. Außerdem wäre ein über Stunden aufrecht erhaltener Lock kontraproduktiv.

TRANSACTIONS könnten sinnvoll sein, was aber eine offene Verbindung zum Server verlangen würde. Außerdem würde dabei ein Anwender am Client B im Gegensatz zum LOCK nicht merken, dass jemand anderes auch gerade an dem Datensatz arbeitet. Somit würde in jedem Fall einer der beiden umsonst arbeiten.

Die Daten selbst sind hoch sensibel, so das die Integrität höchste Priorität hat.

Wie löst Ihr ein solches Problem?

Hinrich

Ergo ersteres wird sehr oft gebracht(mach ich auch ab und an) aber zweiteres ist einfach besser und entspricht der allgemeinen Programmier ansicht.

Eigentlich macht "Rapide Programming" alles falsch, was jeder vernünftige Softwarentwickler in seiner Ausbildung lernt.

Danke für die Aussagen. Microsoft ist wohl, wie zuvor auch Borland, über das sprichwörtliche Ziel hinaus geschossen. Ein UI zusammen zu klicken macht imho viel Sinn, aber der Rest passt auch gut in eigene Schichten.

Hinrich

Hallo,

VS bietet ja viele Möglichkeiten, per Klicki-Bunti eine Anwendung zusammen zu schustern. Dabei kann man auch datensensitive Objekte (TableAdapter etc.) auf ein Form ziehen. Imho ist das eine zu starke Verquickung zwischen Datenhaltung, Programmlogik und UI.

Wie handhabt Ihr das?*Innerhalb des Form einfach die Logik umsetzen, oder *eigene Klassen entwickeln, die die Logik übernehmen und durch angedockte Klassen die Datenhaltung abstrahieren?

Hinrich

myDataGridView.CurrentRow.Cells[0].Value

wäre vielleicht möglich?

Also Steuer abschaffen?
Ich finde die Argumentation im Artikel eher abstossend.

Edit: das Steuermodell selbst ist überholt und unpraktisch, hat aber im Artikel so nicht die Reflektion erhalten.

Die Steuern abzuschaffen, das kann es nicht sein. Steuern haben sehr viel Sinn, denn sie finanzieren die gemeinschaftlichen Aufgaben des Staates. Dennoch muss man in diesem Zusammenhang einmal folgende Punkte sehen, ohne Anspruch auf Vollständigkeit:*Der Bundestag erhöht seine Diäten um knapp 10%, aber der Innenminister hält 5-8% Gehaltserhöhungen für Beamte und Angestellte der Öffentlichen Hand für überzogen; *die Staatsverschuldung ist ein Problem für die nachfolgenden Generationen, dennoch stellt eine Nettoneuverschuldung das "weiter wie bisher" dar; *der Spitzensteuersatz beträgt 45%, aber das oberste Hunderstel der Steuerzahler wird durch die Abgeltungsteuer entlastet; *Steuerhinterziehung ist strafbar, die Verschwendung von Steuergeldern aber nicht; *der Spitzensteuersatz beträgt 45% plus Soli, wird das (versteuerte) Einkommen ausgegeben, werden weiter 19% Steuer fällig, insgesamt also knapp 70% von jedem Konsum, obwohl das BVG die "hälftige Teilung" als Obergrenze definierte;

• der Arbeitgeberanteil von Steuern und Abgaben müsste eigentlich berücksichtigt werden; und *öffentlich-rechtliche Abgabensysteme sind eigentlich steuerähnlich, so dass sich für kleine bis mittlere Einkommen die Staatsabgaben für Entsorgung (staatliches Zwangsmonopol), Krankenkassen, Rentenversicherung, GEZ usw. einschließlich Soli und Umsatzsteuer auf rund 80-90% erhöht.

Neben den aufgezeigten, inakzeptablen Verwerfungen kommen vollkommen unverständliche und willkürliche Subventionen und Bürokratiekosten, die an der Moral der Steuerzahler knabbern. Finanzministerien bezahlen externe Gutachten in schwindelerregenden Höhen, um Fragen zu klären, die sie selbst aufwerfen (und für deren Beantwortung sie auch über das qualifizierte Personal verfügen), Kommunen verbraten Milliarden in Projekte, die niemand braucht und niemand will (bestes Beispiel das Elmshorner Knickei) und jede Transparenz im Steuer- und Abgabensystem ist nicht andeutungsweise erkennbar.

Ich persönlich kennen niemanden, weder einen HARTZ-IV-Empfänger noch einen vermögenden Prinzen, der unter der derzeitigen Rechtslage das Steuersystem in diesem Land akzeptiert. Aber trotzdem zahlen diesen Menschen (zumindest die meisten von ihnen) ihre Steuern, was im übrigen auch der Kommentator des umstritten Beitrags verdeutlichte. Dieses Land aber braucht eine Revolution der politischen Kaste, damit sich etwas ändert.

Sehr lesenswert.

na ja, eben genau dieses "selbst hinzufügen müssen" beziehungsweise erst mal die Meldung, dass das Zertifikat eben NICHT vertrauenswürdig sei, schließt einen halbwegs professionell wirkenden Einsatz irgendwo aus ...

Das Problem lässt sich leider kaum vermeiden. Interessant könnte aber dennoch das CAcert-Projekt sein.

http://www.cacert.org/