Edycja lub przekierowanie linku do skryptu

Witam,

z góry przepraszam za to, że temat nic nie mówi o problemie, nie wiem jak to w skrócie opisać.
Chcę w mojej aplikacji zrobić prosty system logowania, poprzez wysyłanie na stronę www.example.com loginu i hasła.
Jeśli skrypt na stronie zwróci 1 - użytkownik zalogowany, jeśli 0 - użytkownik niezalogowany.

No i teraz moje pytanie. Czy jest możliwe, że cwany użytkownik jakimś narzędziem, plikiem, przekieruje www.example.com na własny skrypt zawsze zwracający 1? Myślałem o systemowym pliku HOSTS, ale tam się tylko blokuje, dlatego pomyślałem też o jakiejś podmianie DNS...

Pozdrawiam i przepraszam, jeśli dział jest nie taki, jaki być powinien - aplikacja pisana w Delphi.

Myślałem o systemowym pliku HOSTS, ale tam się tylko blokuje

Ehm... Tam można zmienić na chama IP, na które kieruje domena (w uproszczeniu). Również na takie, na którym stałby serwer zwracający "1". Oprócz tego wchodzi w grę podmiana pakietów i najgorsze: reverse engineering. Można po prostu napisać cracka, poprzez wycięcie fragmentu dotyczącego logowania z aplikacji.

Zależnie od tego, jak się zabezpieczysz, połamanie będzie łatwiejsze lub trudniejsze, ale wykonalne.

Minutę po napisaniu tematu faktycznie udało mi się przekierować domenę. Wcześniej nie wiedzieć czemu, nie udawało mi się to.
Ok, czyli takie coś odpada... W takim razie jak warto w Delphi zrobić w miarę bezpieczne logowanie?

Użyć modelu SaaS.

Szczerze, nic mi to nie mówi, ale poczytam na internecie conieco. Dzięki za podpowiedź.
@Edit: Czy w pliku hosts można przekierowywać ADRES IP na INNY ADRES IP, tak jak można DOMENĘ na IP?

disip napisał(a)

Szczerze, nic mi to nie mówi, ale poczytam na internecie conieco. Dzięki za podpowiedź.
@Edit: Czy w pliku hosts można przekierowywać ADRES IP na INNY ADRES IP, tak jak można DOMENĘ na IP?

Plik hosts to zunifikowana mapa domen na adresy IP: http://en.wikipedia.org/wiki/Hosts_%28file%29
Raczej nie powinno się dać przekierować IP -> IP. Tylko jaki to ma związek? Nadal można przeanalizować Twoją aplikację, napisać do niej cracka lub przekierować sobie IP na routerze/firewallu.

Rozumiem, faktycznie, nie pomyślałem.

Tak sobię kombinuję... Gdyby tak pobierać zwykłym GETem ze skryptu hasło zakodowane md5, potem porównywać je już w programie potrafiącym zakodować wpisane hasło do md5?
Tutaj chyba podmiana skryptu nie dałaby wiele, oczywiście nadal użytkownik mógłby wpaść na to, że to md5 (może dodać jeszcze jakieś szyfrowanie, kodowanie?), jednak zawsze byłoby to już jakieś podstawowe zabezpieczenie, aby pierwszy lepszy laik nie mógł wpaść jak to się je...

Nie wiem, czy w dobrą stronę kombinuję? Jeśli tak, jak warto kodować md5 w Delphi 2009. Przepytałem Google, ale same jakieś niedziałające odnośniki, albo do starszych wersji Delphi...

Pozdrawiam

MD5 to nie kodowanie, tylko hashowanie. Nie kombinuj, wystarczy, że znajdzie się jedna osoba, która napisze cracka usuwającego całkowicie Twoją autoryzację z aplikacji... Poczytaj o modelu SaaS, jeśli zależy Ci na faktycznym "bezpieczeństwie".

Pisząc "kodowanie" byłem świadomy tego, że poprawisz mnie :)

Wiem, że wystarczy jedna osoba, która napisze cracka, ale moja aplikacja nie będzie rozprzestrzeniana,
logowanie ma mieć na celu po prostu to, że tylko kilka(naście) osób z kontem będzie mogło się włączyć.
To nie ma być żadna super-aplikacja typu Photoshop (którego itak scrackowali na wszystkie sposoby), dlatego
chodzi mi o PODSTAWOWE zabezpieczenie, tak, by po prostu pierwszy lepszy ktoś nie mógł łatwo ominąć logowania.

Rozwiązałem to na razie następująco: program wysyła hasło potraktowane md5 + własną solą. Skrypt sprawdza, czy hasło zgadza się z tym w bazie (z solą). Jeśli tak, zwraca hash (hasło+sól). Następnie program porównuje wpisane w nim hasło + sól z hashem ze skryptu. Jeśli wszystko przejdzie pomyślnie - zalogowany.

Nie jest to żadne super zabezpieczenie... Ale przeciętny Stasiek nie będzie wiedział co zrobić z takim hashem.