OK, aber konzentrieren wir uns doch einmal darauf was der Nutzer tun will.Ich versuche (und kann auch teilweise) nachzuvollziehen, was der Sinn der Sache ist und warum man vielleicht eine derartige Lösung haben möchte.
Er will ein 'normales' Makro laufen lassen um seine Datei (die er deswegen mittels des Makros hidden lädt) vor manuellen Eingriffen zu schützen. Damit sich der Nutzer ZUgriff verschaffen kann soll das Makro zunächst ein Passwort abfragen, welches in de Datenbank (und nicht im Code) abgelegt werden soll, dazu jedoch 'verschlüsselt' abgelegt werden soll und deshalb per Makro entschlüsselt werden muß.
Beschreibe ich das soweit richtig?
Falls ja, weiß ich aber nicht worum wir reden, denn die durch mich die ganze Zeit kritisierte Lösung ist irgendwie Augenwischerei, zumindest aus folgenden Gründen:
1.
Es braucht nicht einmal den Versuch einen ansich schon schwachen Schutz zu brechen, sondern die genaue Funktion des entschlüsselnden Makros kann direkt eingesehen werden solange das Makro selbst nicht geschützt wird. Genau hier liegt doch der Kern meiner Kritik, denn die Tatsache das der 'Verschlüsselungsalgorithmus' im Makro selbst schwach ist (und deshalb unsicher) muß ja nicht einmal herangezogen werden.
2.
Die grundsätzliche Implementierung des Schutzes mittels Makro ist auch grundsätzlich schlecht solange die dAtei selbst nicht anderweitig geschützt ist, da die Ausführung des Makras verhindert werden kann.
Und nun lasse ich 2. gänzlich weg und reduziere 1. auf die Tatsache das der Makro-code einsehbar ist und komme selbst bei dieser großzügigen Betrachtung zu der Einsicht das das Ganze VÖLLIG unsicher ist und zwar nicht aus dem GRunde das ein Fachmann sehr leicht den Algorithmus brechen könnte, sondern das jeder im KLartext einsehen kann wie der Algorithmus funktioniert, weil der Makro-Code für jeden einsehbar ist.
Deswegen ist es ein Mindesterfordernis den Code zu schützen, z.B. mittels der Standardmethode per Passwort wie ich sie in der Beispieldatei vorschlage.
Selbst das berücksichtigt nur obigen Punkt 1. (auch das nur teilweise da ja der Algorithmus selbst weiterhin schwach bzw. unsicher ist), denn Punkt 2. besteht weiterhin.
Wenn Du hingegen meinen solltest es sei ein realistisch anzunehmender Fall das ein Nutzer zwar die 'Sicherungsmaßnahme' umgehen will, gleichzeitig aber nicht die geringe Mühe auf sich nimmt im Internet zu recherchieren was ein paar Codezeilen bewirken, dann kann ich nur sagen das zwischen unseren Einschätzungen 'Welten' liegen und das sich unsere Meinung hier völlig unterscheidet.
Du schreibst z.B. aktuell:Ich weiss immer noch nicht, wie Du auf die Idee kommst, ich würde hier irgendwas verteidigen oder kritisieren.
und solche Aussagen sehe ich als Verteidigung, denn es geht doch bei der in Rede stehenden 'Verschlüsselung' eigentlich nur um sog. snake oil.Ich sehe mich nicht in der Lage, aus der Ferne zu beurteilen, ob diese primitive Verschlüsselung ausreicht
was ich bisher zu Unannehmlichkeiten las war:aber eben auch Unannehmlichkeiten mit sich bringt, die (das ist ein Punkt, den ich nachvollziehen kann) man vielleicht nicht haben will.
und diese Dinge betreffen den konkreten Fall nicht, denn dererlei Forderungen wurden nicht erhoben (oder ich hätte sie übersehen).Aber: es gibt nunmal Situationen, in denen vielleicht Personen Zugriff auf den Makro-Code haben dürfen, aber nicht unbedingt auf den ersten Blick ein Passwort herauslesen sollen (Fernwartung als Beispiel).
Zudem mag man vielleicht nicht jedes Mal beim tatsächlichen Arbeiten am Code das Passowort eingeben.
Das diese Dinge hingegen zutreffen KÖNNEN bgestreite ich ja garnicht, nicht einmal das sie sogar hier zutreffen KÖNNTEN, aber solange wir es nicht wissen (und das tun wir nur wenn es der Frager klar sagt) spekulieren wir nur, betrachten also ALLGEMEINE Möglichkeiten und nicht den konkreten Fall.
Gruß
Stephan