Einseitig, da...

Die Kritik ist leider sehr einseitig auf jene Portale beschränkt die Sicherheitstests hierzu zugelassen haben. Diese zeigten zumindest die Bereitschaft auch Sicherheitstest/Penetratiuonstest in diesem Rahmen über sich ergehen zu lassen und damit auf eventuell vorhandene Schwachstellen hingewiesen zu werden.

Xing hatte dies ausdrücklich untersagt. Jetzt frage ich mich warum die dadurch besser dastehen, da sie ja dadurch ja keine Negativen Schlagzeilen kriegen, dies aber nichts über deren Qualität aussagt. Warum diejenigen wqelche den Penetrationstests zugestimmt haben abgestraft und andere welche wesentlich intransparenter waren gar nicht erst erwähnt wie zum Beispiel Xing. WTF soll dieser Bericht????

Portale, die dem Penetrationstest nicht zustimmten, wurden in diesem Punkt automatisch mit "mangelhaft" bewertet. Also erst Test lesen, dann rumheulen....

Stiftung Warentest regt zum zu Hacken an? Und wenn ich nicht gehackt werden möchte bekomme ich ein pauschal ein Mangelhaft ?

Mehr Drogen bitte!

aha schrieb:
--------------------------------------------------------------------------------
> Stiftung Warentest regt zum zu Hacken an? Und wenn ich nicht gehackt werden
> möchte bekomme ich ein pauschal ein Mangelhaft ?
>
> Mehr Drogen bitte!


Sorry!

Stiftung Warentest regt zum Hacken an? Und wenn ich nicht gehackt werden möchte, bekomme ich pauschal ein Mangelhaft ?

Mehr Drogen bitte!

Schonmal was von Transparenz gehört und davon, dass Penetrationstest zu ganz normalen Sicherheitsanalysen gehören? Webseiten, die in Deutschland 'nen TÜV Siegel haben wollen, müssen sowas ebenfalls über sich ergehen lassen (und zahlen dafür mehrere 10k Euro). Man man, wenn man keine Ahnung hat...

Und du meinst diese aufwendigen und teuren angriffe fährt die stiftung ? und woher soll die stiftung das bezahlen? aus bundesmitteln, also vom steuerzahler? oder soll der betreiber mal eben den check für den test rüber schieben?

ich seh da schon noch einen unterschied ob eine professionelle firma testszenarien und angriffe ausführt, die dafür auch vom seitenbetreiber bezahlt und beauftragt werden oder ob da irgendwer von aussen mal eben paar standardhacks probiert weil für mehr das budget nicht reicht.

nicoledos schrieb:
--------------------------------------------------------------------------------
> Und du meinst diese aufwendigen und teuren angriffe fährt die stiftung ?
> und woher soll die stiftung das bezahlen? aus bundesmitteln, also vom
> steuerzahler? oder soll der betreiber mal eben den check für den test rüber
> schieben?

Weder noch. Guck doch einfach mal auf die Webseite der Stiftung, da findest du alle Infos, wie sie sich finanziert und wie sie arbeitet.

Der Betreiber muss gar nichts bezahlen, der Bund zahlt auch nur einen geringen Teil des Jahresbudgets der Stiftung. Dies auch nur als Ausgleich dafür, dass die Stiftung keine Werbung in ihren Publikationen schalten darf um ihre Unabhängigkeit zu wahren. Die eigentlichen Einnahmen erzielt die Stiftung durch den Verkauf ihrer Publikationen.
Die Stiftung macht laut den Zahlen in ihrem Jahresbericht (ebenfalls auf deren Webseite abrufbar) jährlich einen Umsatz von rund 50 Mio. Euro und gibt allein für die Durchführung von Tests jährlich fast 6 Mio. Euro aus (ohne Personalkosten etc., das sind nochmal seperate Positionen). Also da werden die Kosten für nen paar gute Penetrationstests bei so einem großen Test wie dem hier durchaus drin sein...

> ich seh da schon noch einen unterschied ob eine professionelle firma
> testszenarien und angriffe ausführt, die dafür auch vom seitenbetreiber
> bezahlt und beauftragt werden oder ob da irgendwer von aussen mal eben paar
> standardhacks probiert weil für mehr das budget nicht reicht.

Ach, du meinst so wie die Sicherheitschecks vom TÜV, die den Seitenbetreiber mehrere 10.000 Euro kosten? StudiVZ hat so ein TÜV Siegel, trotzdem hat die Stiftung Sicherheitslücken finden können. Also du lieferst hier keine wirklich guten Argumente...

wenn ich von sicherheitstests rede meine ich nicht tüv. tüv-siegel kosten zwar eine stange geld, ob diese im it-bereich dies wert sind ist eine andere frage.

Der Tüv hat bei vz, dass diese DIN/ISO/IEC 250051:2006 und PPP 13011:2008 entsprechen, ok. Statt aber lose Worthülsen dazu zu veröffentlichen wäre für eine Transparenz interessant, was sich dahinter überhaupt verbirgt und wie die Tests dazu ablaufen.

es gibt auch betriebe, die sich nach din ausrichten und prüfen lassen bei denen hinter der fassade alles andere als nach einer solchen din abläuft.

Wir drehen uns im Kreise... Du wirfst etwas in den Raum, es wird dir widerlegt, also kommst du mit dem nächsten Punkt ohne überhaupt noch mal auf den alten einzugehen. Siehst du denn zumindest mal ein, dass die Stiftung durchaus das Budget für ernsthafte Sicherheitstests hat?

Und wenn du weiterdiskutieren möchtest, dann erklär doch vielleicht erstmal exakt, wie genau ein ernsthafter Sicherheitscheck für dich aussehen sollte und warum du der Meinung bist, dass die Stiftung das nicht vielleicht auch genau so durchgeführt hat.