Wie wichtig ist SQL

[BTCStorage]

Ist es jetzt eine App (für Smartphone) oder ein (Windows) Programm?
Wenn letzteres - für welches Betriebssystem?
Wieso muss das Programm auf einem VPS Server installiert werden?
Warum nicht direkt auf dem Smartphone/Rechner?

HTTP macht man eigentlich nicht mehr.
Dein Programm nutzt HTTP, um sich Daten mit Authentication-Informationen von anderen Seiten zu laden? Lassen die anderen Seiten das überhaupt zu?

Wie funktioniert dann die Konstellation mit dem VPS Server? Läuft ein Teil lokal auf dem User-PC und ein anderer Teil auf dem VPS Server und die eigentlichen Daten werden von Drittserver abgerufen?

Nur mal so als Info, was wir zu Security alles unternehmen:
Es gibt in der Firma Security-Champions. Für diese gibt es immer wieder Security-Schulungen und auch Wettkämpfe. Wir haben eine eigene Security-Abteilung. Es gibt automatisierte Security Scans und alle Findings müssen in kurzer Zeit behoben werden. Alles wird gemonitort und es gibt ein Reporting bis hoch an die Geschäftsführung. Zusätzlich werden hochbezahlte externe Firmen beauftragt, um erweiterte Security Scans durchzuführen. Je nach Kritikalität der Findings gibt es nur wenig Zeit zum Fixen, sonst wird die Applikation nach kurzer Zeit abgedreht. Bisher gab es diesen Fall noch nie in unserer Firma. Der Imageschaden wäre enorm, wenn sowas passiert.

Da sind eine Menge konstruktive Fragen wo ich bestimmt auch einiges von dir dazu lernen kann, ich habe jetzt schon eben ueber eine Stunde verbracht fuer Schreiben einer Forumnachricht, aber ich probiere auf deine fragen auch noch ein zu gehen.

Die Tradeapp ist aufgebaut wie eine gewoehnliche Webseite und laeuft somit ueber jeden Webbrowser auf smartphone und pc.

Die Installation auf dem VPS Server weil das ganze mit Node.js Express Server laeuft, jeder der die Tradeapp kaufen will muss sich dann ein VPS Server mieten und das Program starten und laufen lassen. Aber so ist es auch fuer mich einfacher, ich verkaufe das program einmallig und der Kunde ist dann selbst verantwortlich wie er damit arbeitet, ich muss also nciht die ganze Zeit eine Webseite betreiben und kucken das die Server laufen und Datensicherheit usw.

Ja das Programm arbeitet Teilweise auch mit Daten von APIs also wird HTTPs genutzt und natuerlich fuer den Aufruf der Tradeapp auf den Browser. Aber ich denke mit den Infos die ich jetzt gegeben habe kann man schon gut verstehen wie es funktioniert.

Ergänzung (16. Oktober 2023)

Also speicherst du diese doch!

CU
redjack

Naja ich habe jetzt ueber eine Stunde Zeit genommen und euch bisjen Details erklaert, wenn es also wirklich interissiert kann dort schon bisjen was heraus lesen

 

[RegShoe]

Wozu ausgerechnet ein VPS? Sowas geht doch auch lokal. Wozu gibts VMs?
Ich behaupte mal, dass die wenigsten die Traden wollen, sich erstmal eine Software für 250 bis 500 EUR (wie siehts mit einer richtigen, steuerlich korrekten, Rechnung aus?) kaufen um dann noch einen VPS zu mieten, sicher zu installieren und vor allem sicher zu administrieren.
Jemand der soviel Geld ausgibt erwartet auch einen gewissen Support für die Installation und den Betrieb. Was ist mit regelmässigen (Sicherheits)-Updates um mindestens mal die Kompatibilität mit aktuellen Systemen zu garantieren? Kann ja nicht sein, dass deine App nächstes Jahr nicht mehr funktioniert, weil es von irgendeinem Paket ein neues Major Release gibt, in dem ein paar APIs geändert wurden.

 

[Madcat69]

Gedankenspiele:

- Kunde kauft Programm, installiert es nach Vorgaben. Es tritt ein Problem auf, durch das der Kunde viel Geld verliert. Er sagt es ist durch das Programm verursacht und verlangt Schadenersatz in fünfstelliger Höhe.
Was passiert dann?

- Eine Sicherheitslücke in einer vom Programm verwendeten Bibliothek, hoch kritisch. Wie schnell kannst Du ein Update erstellen, testen und ausliefern?

- Wie lange garantierst Du Unterstützung nach dem Kauf (und sei Dir sicher: bei dem Preis wird viel erwartet) z. B. bei Systemupdates die Anpassungen erfordern.

- Deine Kundenliste mit Namen und Mail-Adressen kommt im falsche Hände (warum auch immer, Hacker, Systemfehler usw. ). Wie ist das DSGVO-konforme Vorgehen? Siehe auch Thema Löschfristen usw.

Alles Dinge, die vor der Entwicklung bedacht werden müssen, weil es großen Einfluss auf das Design hat.

Und eine persönliche Bitte noch: nicht bisjen, bischen. Liest sich manchmal sehr anstrengend.

 

[floq0r]

- Kunde kauft Programm, installiert es nach Vorgaben. Es tritt ein Problem auf, durch das der Kunde viel Geld verliert. Er sagt es ist durch das Programm verursacht und verlangt Schadenersatz in fünfstelliger Höhe.
Was passiert dann?

Im Idealfall ist der Vertragspartner des Kunden eine haftungsbeschränkte Kapitalgesellschaft, die ihre Gewinne bereits an eine Holding ausgeschüttet hat

 

[RegShoe]

und nach der ersten Schadenersatzklage stellt die Gesellschaft Antrag auf Insolvenz.. Also alles ganz einfach

 

[floq0r]

Ja eg, was ich meinte war, dass es da schon nichts mehr zu holen gibt

 

[BTCStorage]

--Bitte die Zitierregeln beachten--

Die Tradeapp soll verschiedene Aufgaben uebernehmen, dazu muss die ganze Zeit online sein deswegen VPS server und weil Node.js auch dort auf dem VPS Server laeuft. Aber man kann auch auf sein PC das installieren aber der Nutzen ist dann nicht so gros, weil du willst ja auf dein PC auch andere Sachen arbeiten und nicht die ganze Zeit die Server fuer die Tradeapp dort laufen lassen und auch aus Sicherheitsgruenden ist es eine gute Idee VPS Server zu benutzen, dann must du nicht auf dein privaten Computer irgendwelche Programme installieren und VPS Server kosten ja nicht viel zehn euro pro Monat dafuer das man den ganzen Monat damit handeln kann.

Du sagst du denkst die wenigstens die traden wollen haben Lust Geld aus zu geben fuer dies und jenes, aber genau da faengt es an mit Branche kennen die echten Trader geben fuer sowas natuerlich Geld aus, gibt Leute die lassen sich fast jede Woche oder Monat fuer paar hundert Euro indikatoren und roboter bauen welche denen nur dabei helfen geld zu verzocken. Die Leute in deiser Branche die wirklich ernsthaft was erreichen wollen geben fuer alles geld aus was denen weiter helfen kann beim trading, weil mehr als 80% der Leute dort verlierennur geld.

Ich werde natuerlich probieren die Tradeapp so zu bauen das installation einfach sein wird und auch die Ueberwachung, alles drum und dran und es gibt natuerlich auch Updates usw ich glaube ich werde sogar fuer ein bestimmten Betrag die Quellcodes anbieten.

Ergänzung (17. Oktober 2023)

--Bitte die Zitierregeln beachten--

Ja das sind natuerlich wichtige Punkte, ich werde einfach in die AGB ein Haftungsauschlus schreiben, so wie es jeder in dieser Branche macht.

Und nach dem Kauf bekommt jeder auch kostenlose Updates wenn noetig oder Fehler korrigiere ich natuerlich auch kostenlos.

Das Beispiel mit der gestohlenen Kundenliste ist schon "bischen" weit hergeholt aber diese Haftungsauschlus Sachen sind schon wichtig.

 

[redjack1000]

Das Beispiel mit der gestohlenen Kundenliste ist schon "bischen" weit hergeholt aber diese Haftungsauschlus Sachen sind schon wichtig.

Wenn dir das passieren sollte und du nicht an die Regeln, der DSGVO gehalten hast, das ganze dann auch noch nachgewiesen wird, hilft dir kein Haftungsausschluss.

Ein Haftungsausschluss kann kein Gesetz aushebeln.

Und nein, das ist nicht weit hergeholt.

Deshalb meine Empfehlung, wenn du Kundendaten verarbeitest, solltest du dich mit dem Thema auseinandersetzen.

CU
redjack

 

[wahli]

Wie greift der Kunde auf die Software vom VPS zu? Per Browser mit HTTPS? Oder per HTTP über VPN? Oder Remote-Desktop?

Bei einem Update musst du die Version auf allen VPS einspielen?
Das ist hoffentlich irgendwie automatisiert, sonst wirst du damit nicht fertig.

Lies dich mal ein zum Thema "mandantenfähig".
Es sollte eigentlich nur ein Server laufen. Gegen Bezahlung kann man sich dort einen Account erzeugen und bekommt genau das, was der Kunde bezahlt hat. Die Accounts musst du natürlich in einer Datenbank halten.
Es muss dann genau ein Server gewartet werden bzw. Updates müssten nur einmal eingespielt werden.

 

[Raijin]

danach kucke ich erst wegen anderen Themen Sicherheit der Daten

Ne, gerade dann, wenn es um Geld geht - und ich meine nicht nur den Kaufpreis deiner Trading-App, sondern das Geld, welches damit getradet wird - gibt es kein danach in Bezug auf Sicherheit der Daten. Die Sicherheit der Anwendung und aller Daten darin steht ganz oben auf der Liste.

ich werde einfach in die AGB ein Haftungsauschlus schreiben, so wie es jeder in dieser Branche macht.

Um über Haftungsausschlüsse und deren Wirksamkeit urteilen zu können, ist eine Rechtsberatung eines fachkundigen Anwalts unumgänglich! "Das machen alle so" ist vor Gericht kein Argument.

So wie du es hier darstellst, könnte ein Hersteller von Elektrogeräten seine Produkte beliebig gefährlich für Leib und Leben konstruieren und einfach in die AGB schreiben "Benutzung auf eigene Gefahr! Wer von diesem Produkt einen tödlichen Schlag bekommt, ist selbst schuld".

Ganz so einfach ist das aber nicht, weil es Gesetze und Vorschriften zur Produktsicherheit gibt, die man nicht durch banale Ausschlussklauseln aushebeln kann. Wenn das nicht juristisch hieb- und stichfest ist, nimmt dich jeder Anwalt vor Gericht auseinander und die erste Klage auf Schadensersatz ist nur eine Frage der Zeit. Du "baust" hier nicht einfach ein kleines Javascript, das ein paar hüpfende Buchstaben auf den Bildschirm zaubert und "auf eigene Gefahr" einzusetzen ist, sondern du willst Software verkaufen, mit der sich jemand finanziell ruinieren kann. Passiert letzteres nur aufgrund eigener schlechter Trading-Entscheidungen, ok, aber passiert dies aufgrund deiner Software - sei es ein schlechter Algorithmus oder gar ein Bug, der zum Totalverlust führt - ist das etwas vollkommen anderes. Das muss juristisch wasserdicht sein und du benötigst für den Fall der Fälle auch eine geeignete Rechtsschutzversicherung.

 

[RegShoe]

@wahli ich glaube du verstehst das falsch. Er will NUR die "App" verkaufen.
Sein Kunde muß die "App" (seiner Meinung nach) dann auf seinem eigenen angemieteten VPS installieren. Er will also einfach nur ein ZIP mit der "App" verschicken und das wars.
Da stellt sich mir natürlich auch direkt die Frage, wie er verhindern will, dass irgendein Kunde die "App" einfach weitergibt...

Ich will jetzt nicht sagen, dass unter seinen potentiellen Kunden niemand ist, der einen VPS sicher eingerichtet bekommt. Aber ich unterstelle einmal, dass es der Großteil NICHT kann. Also wird dann im schlimmsten Fall irgendwas rumgefrickelt und plötzlich ist der Server auf, weil z. B. SSH mit Passwort nach außen offen war oder der Webserver einfach schleht konfiguriert war.
Dann ist der Kunde all seine Assets los und für ihn wirds richtig interessant. Garantiert wird einer der Kunden dann zum Anwalt gehen um zu versuchen was von ihm zurückzubekommen.
Selbst wenn er nichts ersetzen muß wird er trotzdem einiges an Kosten für Anwalt und ggfs. Gericht haben und natürlich einen extremen Imageverlust, weil sich sowas garantiert rumspricht.

Wieso sowas nicht auch lokal 24/7 laufen kann erschließt sich mir nicht. Es wird doch wahrschinlich eh alles über verschiedene APIs bei irgendwelchen Anbietern/Brokern abgewickelt...Dafür muß niemand, außer dem User selbst auf den Server zugreifen.
Dann wäre es auch nicht soo schlimm, wenn sein Kunde irgendwo was bei der Konfiguration "vergisst"...

Die dafür ggfs. anfallenden Anschaffungskosten sind bei der angestrebten Kunschaft doch wahrscheinlich "Peanuts" . Genauso wie der Stromverbrauch.

Ich will wirklich nicht alles schlecht machen... aber mir fallen bei dem bisher von ihm geschriebenen einfach SO viele Dinge auf, die schief gehen können (und wahrscheinlich auch werden), nicht bedacht wurden und richtig teuer werden (können)

 

[BTCStorage]

--Bitte die Zitierregeln beachten--

Wenn ich das Program verkaufe zaehlt dann immer noch die Pflicht fuer Datensicherheit gerade zu stehen?
Wenn ich eine Webseite betreibe wo Leute sich anmelden mit ihren Daten, kann ich es verstehen, aber wenn ich ein Program fuer jemand baue dann traegt er im Prinzip jetzt auch keine persoehnlichen Daten in die App ein, aller hoechstens die Leute welche mit der App in Crypto Exchanges handeln tragen ihre API Keys ein, die werden auf deren server gespeichert, nicht bei mir, bin ich dann noch verantwortlich?

Und was soll man da machen, wie kann man den die Daten so sichern damit kein Gesetzt dagegen spricht?

Wenn das alles so heikel ist muss man natuerlich aufpassen, aber irgendwie denkt man immer so oft schon Programme verkauft und nie Probleme deswegen und warum soll es jetzt aufeinmal anderss ein. Bisher hat noch nie jemand geklagt wegen Datensicherheit bei all den Handelsrobotern die ich gebaut habe.

Ergänzung (17. Oktober 2023)

--Bitte die Zitierregeln beachten--

Ja der Ablauf den du beschrieben hast wird oft genutzt, so arbeiten die meisten Tradeapps, das Thema Datensicherheit ist dann dort auch sehr wichtig, wenn die Kunden alle auf den Server gespeichert werden.

Bei meinen Vorhaben ist es hoffe ich bischen anders. Man muss sich das so vorstellen ich habe auf mein PC Node JS am laufen und baue das ganze noch auf, wenn es fertig gebaut ist und ich es weiter verkaufen will dann muss ich kucken wie ich die Quellcodes bischen schuetze, aber im Prinzip gebe ich es dann auch so weiter wie es bei mir laeuft, also muss der Kaeufer auch auf ein PC Node js installieren und deswegen bietet sich ein VPS Server auch am besten an und weil die Tradeapp auch ganze Zeit online sein soll, die Maerkte handeln usw.

Der Kaeufer bekommt also etwas wo er auch bischen sich einarbeiten muss, aber ich werde kucken das ich so einfach wie moeglich mache und kostenlos Node js installieren und so Sachen sind auch kein Problem, ich habe schon oft auf diese Weise fuer Leute Roboter auf VPS servern installiert.

Und erreichbar ist die app dann ganz normal wie jede Webseite ueber jeden Browser.

 

[zenokortin]

Ich freue mich schon auf die ganzen SQL-Injections.

 

[BTCStorage]

--Bitte die Zitierregeln beachten--

Ja ich verstehe was du beschreibst, ich werde probieren mich da zu informieren. Ich habe aber selber schon hunderte handelsroboter als Freelancer fuer Leute gebaut und denke die ganze Zeit warum soll es bei dieser Tradeapp anders sein. aber ich werde da natuerlich auch nochmal genauer nachschauen.

Ergänzung (17. Oktober 2023)

--Bitte die Zitierregeln beachten--

Man kann es auch auf dem eigenen PC instalieren und den PC ganze Zeit laeufen lassen, es ist ja nur eine internetverbindung noetig und ein PC wo Node js laeuft.

Die Tradeapp besteht ja aus HTML wie eine Webseite, jeder der weis wie eine Webseite laeuft der kann sich dann auch vorstellen was man alles brauch.

Also das thema Datensicherheit und Klagen usw da habt ihr alle Recht da werde ich auch noch genauer nachschauen, aber ich habe in den letzten Jahren schon so oft Tradingroboter verkauft ohne irgendwelche Probleme, koennte sein das bei Privatverkauf auch andere Gesetze gelten.

Ergänzung (17. Oktober 2023)

--Bitte die Zitierregeln beachten--

der server nimmt keine Anfragen von ausserhalb an und jede Anfrage die er animmt, wenn die von erlaubten API kommt, dort wird auch nochmal ein sehr langes Passwort geprueft.

 

[zenokortin]

dort wird auch nochmal ein sehr langes Passwort geprueft.

Du weißt also nicht, was SQL Injections sind.

 

[Nebuk]

Ist Docker keine Option oder ander gefragt, was spricht hier gegen Docker?

 

[zenokortin]

Und was bitte soll Docker (aka minderwertige VM) hier an Problemen lösen? Es gibt Fälle, wo man alte Tools damit lauffähig halten kann, aber für "aktuelle" Tools ist das eher...

 

[Raijin]

Ich habe aber selber schon hunderte handelsroboter als Freelancer fuer Leute gebaut und denke die ganze Zeit warum soll es bei dieser Tradeapp anders sein.

Famous last words.

Verwechsle nicht Glück mit Sicherheit. Es mag sein, dass du mit deinen "Hunderten Handelsrobotern", die angesichts deiner aktuellen Situation ja extrem effektiv gewesen sein müssen, bisher keine Probleme hattest, aber dir ist klar, dass ein einziger Fall ausreicht? Das ist nix anderes als eine Lotterie. Bisher hast du nur Nieten gezogen, aber wenn du dann doch mal den unwahrscheinlichen Fall des Hauptgewinns ziehst, gewinnst du in dem Fall nicht den Jackpot, sondern den Kuckuck auf deinen Habseligkeiten wenn der Gerichtsvollzieher da war. Prävention ist das Stichwort.

 

[Nebuk]

Probleme lösen? Dass man als möglicher Kunde nicht alles einzeln herunterladen und konfigurieren muss? Einfach ein Docker Compose File bereitstellen und ggf. die persönlichen konfigs anpassen (z.B. wohin allfällige Daten wie Logs geschrieben werden). Danach die Container hochfahren und schon läufs in der Regel...

Updaten ist meiner Meinung nach so viel einfacher. Grob:
Container stoppen, löschen, neues Compose File ausführen und runterladen, container neu starten fertig.

Warum minderwertige VM? Ich würde es eher hochwertig anschauen. Die Container laufen mit den absoluten minimum Ressourcen und bieten so sehr viel Komfort. Besonders bei schwacher Hardware. Ich sehe Container (ob Docker oder Alternativen) als Zukunft. Klassische VMs verschwinden zwar nicht, aber werden nicht mehr überall/gleich eingesetzt wie früher.

Als einziger Nachteil sehe ich bei Docker der gemeinsame Kernel.

 

[Tokolosh]

Docker, VM, BareMetal, Kubernetes Cluster, Serverless Functions.. ist doch voellig egal wie die Anwendung gehostet werden soll, darum gehts doch hier gar nicht und das ist ueberhaupt nicht relevant. Es gibt noch keine Anwendung.

OP hier moechte ohne Expertise und mit fragwuerdigen Vorkenntissen eine Software im Alleingang vertreiben, von der er nicht einmal die Anforderungen genau kennt.

Ist hier voellig hinfaellig ueber DSGVO und SQL Injections zu faseln, wenn die reine Funktion der Software wohlmoeglich nie gegeben sein wird aufgrund von fehlender Erfahrung und Kompetenz.

Und alles nur, weil nach der Relevanz von SQL gefragt wurde...