An alle, die PuTTY als SSH-Client unter Windows nutzen...

[Joe User]

Der von Dir genutzte Repacker ist das Problem, Du solltest dringend einen anderen verwenden.


Nur so als algemeiner Tipp (auch an andere Devs): Nicht nur auf den eigenen Code achten, sondern auch die verwendeten Libs und Tools Dritter regelmässig prüfen.


BTW: Wo sind die Lizenzen? Also die für Deinen Code und die für den von Dir genutzten Fremdcode?


BTW: Wozu öffnet Dein Programm einen Port? Warum wird der Nutzer nicht über dieses Sicherheitsrisiko informiert? Wie lässt sich das abschalten? Wo ist die Doku?

 

[Thunderbyte]

MOD Hinweis: Bitte unterlasse Fullquotes in Zukunft, sonst wird aus einer "Warnung" eine "Verwarnung".

Ein SSH Client ist ein Administrationstool, das besonders sicher sein muss und dem man definitiv trauen können muss. Entweder ist er Open Source, oder wird zumindest von einer Firma angeboten, der man bisher noch nichts nachweisen konnte (was wiederum nichts heißen muss) und die zumindest nachweislich existiert.

In Deinem Fall hast Du kein Impressum auf Deiner Seite, stellst Dich auch sonst nicht vor, auch hast Du keine Domain auf Deinen Namen registriert. Also kann man in keinem Fall herausfinden, wer Du bist und ob Du "gut" bist, oder einen Virus unter die Leute bringen und mit einem SSH Client supereasy Zugriff auf zahlreiche Server bekommen willst, weil Dir die "Opfer" die Zugangsdaten auf dem Silbertablett servieren.

Selbst wenn wir Dir hier alle glauben würden - ich neige dazu das zu tun - müssten wir hier trotzdem aus der Virusmeldung und den o.g. Kritikpunkten heraus jedem, der diesen Thread liest, fürs erste empfehlen, Deinen SSH Client NICHT zu nutzen.

Die Punkte von Joe User sind neben dem hier genannten natürlich auch valide. Solltest du Open Source Fremdcode in Deinem Client verwenden und der jeweiligen Lizenz nicht entsprechen (z.B. weil Du Deinen Code nicht auch offenlegst oder anderes), verstößt Du gegen eben diese Open Source Lizenzen.

 

[GwenDragon]

Ein SSH-Client-GUI ist für mich eine sicherheitsrelevante Anwendung.

Was mich abhält, das Programm als vertrauenwürdig anzusehen:
1. Downloadquelle ist ein x-beliebiges Blog
2. Impressum des Programmierers fehlt
3. Programmierer hat, da anonym, keinerlei Reputation woanders
4. Weder Zip noch Exe haben eine Programm- oder PGP-Signatur
5. Lizenz fehlt
6. Verwendeter Packer für die Exe ist problematisch
7. das undokumentierte Verwenden weiterer Ports im Programm ohne Warnung der Nutzer ist extrem verunsichernd und widerspricht jeglicher Art und Weise
8. Fehlendes Readme über Funktion oder andere Doku

Das Ganze ist so intransparent, dass niemand der sicherheitsbewusst ist, solche eine Software nutzen würde.

PS: Würde ich Malware programmieren wollen, die Logins etc. abfischt, würde ich es so wie du machen: unsichtbar bleiben.

 

[p-st]

@Joe User
Dass mein Programm ein Port öffnet, habe ich leider erst heute durch Dich erfahren. Natürlich wollte ich Deine Aussage direkt überprüfen und konnte mit dem Tool "CurrPort" leider sehen, dass mein Programm einen Port am loopback interface 127.0.0.1 öffnet. Ich habe dann stichprobenartig ältere Versionen von WinSSHTerm auf dieses Verhalten überprüft und konnte dabei eine Version ausfindig machen, die keinen Port öffnet. So konnte ich dann schließlich die Ursache für dieses Verhalten finden - es ist die Einstellung "Make single instance application" im Visual Studio (unter Project Settings->Application). Im Internet kann man z.B. hier etwas darüber lesen. Ich werde den Single-Instance Mechanismus im nächsten Release umschreiben, so dass kein Port mehr geöffnet wird. Danke für die Analyse, mir wäre dies nicht aufgefallen.

BTW: Zum Thema Repacker kann ich Dir sagen, dass ich gar keinen Repacker verwende! Ich speichere und lade die DLLs so wie hier beschrieben.

Zum Thema Lizenzen kann ich sagen, dass alle verwendeten 3rd party DLLs entweder unter MIT oder CPOL lizensiert sind und somit auch in closed-source Programmen verwendet werden dürfen. Die Icons sind von http://modernuiicons.com/.
Die Lizenzangaben zu meinem Programm befinden sich im Blog in der rechten Spalte unter "License".

@Thunderbyte @GwenDragon
Auch Euch möchte ich für die konstruktive Kritik danken. Ich sehe das ganze nun aus einem anderen Blickwinkel und bin mir nicht sicher, ob ich an Eurer Stelle mein Programm verwenden würde.

Wahrscheinlich wäre es hier für mich am Einfachsten, aus WinSSHTerm ein Open Source Projekt zu machen. Mal schauen, ich denk mal drüber nach...

Gruß
Patrick

 

[Joe User]

Zum Thema Lizenzen kann ich sagen, dass alle verwendeten 3rd party DLLs entweder unter MIT oder CPOL lizensiert sind und somit auch in closed-source Programmen verwendet werden dürfen.

Bezüglich der CPOL ( http://www.codeproject.com/info/cpol10.aspx ) habe ich leichte Bedenken, dass Du die Punkte 5e, 5f und 6 tatsächlich vollständig erfüllst.

Bezüglich der MIT License ( https://opensource.org/licenses/mit-license.php ) verstösst Du gegen den zweiten Absatz.

Bezüglich der CC-BY-ND-3.0 ( https://creativecommons.org/licenses/by-nd/3.0/legalcode ) der Icons habe ich leichte Bedenken, dass Du die Punkte 4a, 4b und 4c tatsächlich vollständig erfüllst.

Die Lizenzangaben zu meinem Programm befinden sich im Blog in der rechten Spalte unter "License".

Teilweise inkompatibel mit obigen Lizenzen und somit hinfällig.

Wahrscheinlich wäre es hier für mich am Einfachsten, aus WinSSHTerm ein Open Source Projekt zu machen.

Viel Spass beim Wählen der passenden Lizenz...

 

[p-st]

Sorry, dass ich nach so langer Zeit (wow, schon 1 Jahr vergangen!) hier nochmal poste. Es hat sich einiges geändert, und einige der hier aufgeführten Punkte entsprechen mMn nicht mehr dem Status Quo. Mittlerweile habe ich auch herausgefunden, was die Ursache für die Virusmeldungen war - wieder der Single-Instance Modus, mit dem ich schon Probleme wegen dem offenen Port hatte. Mit Version 1.11.0 habe ich dies ausgebaut und seitdem scheinen alle Virenscanner zufrieden zu sein

 

[Deleted member 11740]

Ich vertrete die Aussage von Richard Stallman:
Proprietäre Software == Malware

Aus dem Grund nutze ich so wenig Software dieser Art ein, wie es nur möglich ist.

Essentielle Tools, die eine sichere Shell zu einem Server aufbauen, werden sicherlich öfters angesehen, als irgendwelche Spielzeuganwendungen. Aus dem Grund sollte der Quellcode zur Verfügung stehen, damit andere Entwickler Fehler aufdecken können. Tut man das nicht, erlangt man weniger Vertrauen bei solchen sicherheitskritischen Werkzeugen.