Ist doch nur Augenwischerei

Wenn die es ernst meinen würden,
- gäbe es verbindliche Tests für PHP/WebAnwendungen die zu erfüllen und Fehler kostenfrei nachzubessern sind.
- würden die etwas gegen ZentralSammlung von z.B. Gesundheitsdaten machen und dezentrale Systeme fordern. Jeder muss nur wissen, was er wissen muss.
- Und da wollen gewisse Minister mit dabei sein ? Häh ? Ist wohl so wie der Besuch der Hamburger EisenbahnModeller bei den Berlinern um vor Kamerateams deren QuadratMeter anzuzweifeln (iirc SPiegelTV-Reportagen): Besuch bei der "Konkurrenz". Zu sicher dürfen Daten nämlich nicht sein.
- Aber dann gäbs auch keine BankenKrise weil man das vorher sauber aufgestellt hätte.

Ich kriege für sowas wie partial DataBaseEncryption[1] keine 12 Millionen Euro. SQL-Injection hatte ich mir als Angriff ausgedacht, da gabs noch gar kein PHP (cgi per shell/perl war damals üblich) und Postgresql war quasi unbekannt. Double opt-in ist nichts kewles sondern "selbstverständlich" wenn man drüber nachdenkt. Und das man Transaktionen anleiert und per sms/email/... als zweiten Rückkanal bestätigt ja wohl auch. Das Base-Wissen aus Schneier ist klar (nicht die formeln, die Abstrakten Konzepte wie z.B. "dont sign a contract you didnt change a bit of" (wegen hash-duplikaten)).

[1] Datenbanken verden verteilt. Z.B. bei Zing(erfundener Name und erfundenes Beispiel) kann man online nur Normalokrams machen und seine kontodaten/privatanschrift/... muss man an einem anderen server ändern. Die Kontodaten usw sind für den normalen Account gar nicht sichtbar. Adressdaten z.B. bei Emazon (Erfundener OnlineHändler) sind verschlüsselt in der Datenbank. Die werden übers passwort entschlüsselt (oder erneute passworteingabe für die bestellung, "erlaubnis, die lastschrift/KreditKarte abzubuchen") und sind nach der session weg. Wenn die daten gebraucht werden, werden sie an die warenwirtschaft übermittelt. Bei einbruch sind und bleiben sie (mit dem passwort) verschlüsselt und keiner kommt dran wenn er eine kopie der SQL_Datenbank zieht. Die Warenwirtschaft/Buchführung sind andere Server. DatenSparsamkeit überall. Nur so als eines von zig Beispielen sicherer größerer Systeme. Aber sowas interessiert natürlich nicht. Wie bei ComputerSPielen am ReleaseDatum schrott abliefern, bananasoftmäßig beim Kunden reifen lassen und dann nachbessern. Der Kunde kann ja nicht woanders kaufen. Jede WisoSteuersoftware/AldiSteuersoftware ist besser (aber trotzdem noch eine zumutung) als SAP/Accenture/...-Anwendungen für Zillionen/Zentillionen.

Benutzer wird von Ihnen ignoriert. Anzeigen

ich glaube kaum, dass sich die forscher mit bagatellen wie sql-injection und ähnlichem abgeben. für diese probleme gibt es schon lösungen. ich denke eher, dass dort verschlüsselungsverfahren überprüft werden.

mehr sicherheit drückt unter umständen auf die performance und/oder steigert die kosten. wer will schon viel geld für seine software zahlen?

Benutzer wird von Ihnen ignoriert. Anzeigen

Stabilere Software die nach Schema F (Schneier o.ä.) gebaut wird, kostet weniger, weil sie gleich richtig läuft.

HDCP hat angeblich eine Lücke aber der Forscher traut sich nicht, sie zu veröffentlichen. Also würde ich mal HDCP ansehen und gucken, was anders als in/an den offiziellen CryptoMethoden ist.

Und Schlüssel an sich nutzen wenig, wenn die Hintertür/KatzenTür/SchäubleEineKopieHatWeilManDenKeyBeiMielkesTrustCenterGekaufthat... existiert. Oder man einfach zu doof ist, den CryptoAlgorithmus richtig zu implementieren. Und die Sicherheit des Autos ist nicht nur die Einbruchsicherheit per Schlüssel.

Kryptografie ist nur ein Teil und u.u. sogar der "langweilige" weil ziemlich "erledigte". Die konkrete Umsetzung (pseudo-verfahren, selbst gefrickelte Verfahren,...) anzugreifen ist ok. Aber lange nicht alles.

Benutzer wird von Ihnen ignoriert. Anzeigen

Stabilere Software die nach Schema F (Schneier o.ä.) gebaut wird, kostet weniger, weil sie gleich richtig läuft.

HDCP hat angeblich eine Lücke aber der Forscher traut sich nicht, sie zu veröffentlichen. Also würde ich mal HDCP ansehen und gucken, was anders als in/an den offiziellen CryptoMethoden ist.

Und Schlüssel an sich nutzen wenig, wenn die Hintertür/KatzenTür/SchäubleEineKopieHatWeilManDenKeyBeiMielkesTrustCenterGekaufthat... existiert. Oder man einfach zu doof ist, den CryptoAlgorithmus richtig zu implementieren. Und die Sicherheit des Autos ist nicht nur die Einbruchsicherheit per Schlüssel.

Kryptografie ist nur ein Teil und u.u. sogar der "langweilige" weil ziemlich "erledigte". Die konkrete Umsetzung (pseudo-verfahren, selbst gefrickelte Verfahren,...) anzugreifen ist ok. Aber lange nicht alles.

Benutzer wird von Ihnen ignoriert. Anzeigen

Vielleicht solltest du dich vorher mal informieren, was am CASED so wirklich gemacht wird... Das ist eine Forschungseinrichtung (bzw. ein Gemeinschaftsprojekt von Forschungseinrichtungen). Die machen vor allem Grundlagenforschung, aber auch angewendete Forschungsprojekte in Zusammenarbeit mit der Industrie. *Natürlich* steht es der Industrie frei, den aktuellen Stand der Forschung in Punkto Sicherheit zu erfüllen oder auch nicht. Übrigens forschen diese Institute dank ihrer Unabhängigkeit auch gerade in die Richtung, Schwachstellen bei existierenden Systemen aufzudecken.

Zugegeben, die CASED-Seite ist nicht gerade aussagekräftig was die Forschung angeht, aber hier mal ein paar Links was da dann wirklich gemacht werden wird:

http://www.cdc.informatik.tu-darmstadt.de/research/forschung.html
http://www.sit.fraunhofer.de/forschungsbereich/index.jsp

Benutzer wird von Ihnen ignoriert. Anzeigen

Schnell nen schnellen DoktorTitel ist das Ziel. Und dann irgendwo einen Job finden. [Das Verhalten der Assistenten beobachten]
TesaRom: Patente anmelden und bisher mehr als 10 Jahre zur Realisierung brauchen. [ct seit 1990 und wohl vorher auch]
Kollegen mit Plutionium vergiften wegen der Stelle(oder drittel oder halben Stelle). [TagesZeitung]
Physikpapers nicht in die Zeitschrift reinlassen weil sie der eigenen Theorie wiedersprechen [ct]
Mehrere gleichlautende DoktorArbeitem im nächsten/aufeinanderfolgenden Monaten durchwinken [Telepolis].

Die PseudoWissenSchaftsBranche ist in der ct gelegentlich beschrieben.

Irgendwelche Theoretischen Ideen zur Sicherheit nutzen wenig, wenn sie keiner umsetzen muss. Daher gibts für Autos VERBINDLICHE Crash-Tests. Wieso nicht für Web-Anwendungen ? Weil Identitätsdiebstahl oder Kreditkartenklau und SpamBotRechner u.ä. ja weniger Aufwand macht, als AutoUnfälle ? Spam ist das totale Ärgernis und kostet zillionen Arbeitsminuten.

Sicherheit ist mit Steuergeldern zunächst dort fortzuentwickeln wo sie gebraucht wird. Also im nächstbesten (minderwertig programmierten) (PHP)-OnlineShop.
Mit Steuern sind real existierende Probleme zuerst zu bearbeiten.

Benutzer wird von Ihnen ignoriert. Anzeigen

nichts ist unsicher als ein als sicher zertifiziertes progamm. der anwender verlässt sich darauf. während ein neuartiger angriff die sicherheitsmechanismen aushebelt. wird das programm nie an aktuelle standards angepasst, dann ist die sicherheit wieder hin. nachdem die firma die "sichere" software einkaufte wird natürlich kein bedarf gesehen diese regelmäßig zu aktuallisieren oder updates zu kaufen.

warum es keine prüfung von websoftware gibt?
weil jeder frei ist seine eigene internetseite mit seinen eigenen php-scripten laufen zu lassen. weil sonst nur staatlich zertifizierte webentickler einen webserver mieten dürften und die gesamte branche dann in den keller ginge. weil niemand das geld hat jedes kleine script testen zu lassen. wer bitte soll denn dann der zertifizierungsstelle trauen. im projekt garantiert auch keiner, dass der zertifizierte entwickler sich auch daran hält und/oder dem kosten und zeitdruck nach gibt.

Benutzer wird von Ihnen ignoriert. Anzeigen

Prüfung beinhaltet keine Verpflichtung, nur "zertifizierte" Leute ranzulassen.

An deine GasLeitung, Wasserleitung, StromLeitung (ja, wissen die meisten nicht aber 250 Volt dürft ihr nicht oder zumindest nur eingeschränkt) dürfen nur ausgebildete Leute.

Aber deine KontoDaten, Bestellungen, KrankenKassenDaten, EinzelverbindungsNachweise usw. die soll jeder nichtskönner proggern. Na gut. Viel Spass mit IdentitätsDiebstahl. Von mir aus sollen das auch php-würstchen proggern. Ist mir egal. Hauptsache die Daten sind sicher.
Sowas kann man auch per simplen CheckerTests regeln. Das sind vollkaufeleute. Wenn die einen CheckerTest machen und die Frage vorkommt, unterschreiben sie mit Ihrer Antwort, sich so zu verhalten z.B. das FileZugriffe gegen konkurrierendes Schreiben gesichert werden. Oder das man passworte hashen muss und zwar individuell/individualisiert. Und das newsletter nur per double-opt-in erlaubt sind. usw. Das ist gar nicht viel.

Man darf sein Auto nicht unabgeschlossen stehen lassen. Könnten ja Kinder die Handbremse ziehen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Siga schrieb:
-------------------------------------------------------
> Prüfung beinhaltet keine Verpflichtung, nur
> "zertifizierte" Leute ranzulassen.
>
> An deine GasLeitung, Wasserleitung, StromLeitung
> (ja, wissen die meisten nicht aber 250 Volt dürft
> ihr nicht oder zumindest nur eingeschränkt) dürfen
> nur ausgebildete Leute.
>
...kann Deinen Ausführungen schon folgen, auch wenn Dein Angriff mit dem CASED vielleich die falschen trifft. Doch auch Du glänzt, zumindest außerhalb der IT mit reichlich Halbwissen: an die Gasleitung darfst Du gar nicht, Wasser nur bedingt und die Sache mit dem Strom fängt nicht erst bei 250 Volt an, welche Du sicherlich nicht in Deiner Wohnung anfinden wirst!

Deine Kritik an der Zertifizierung ist nachvollziehbar, jedoch wird es schwierig werden, sich einem fahrenden Zug einfach in den Weg stellen zu wollen.

Benutzer wird von Ihnen ignoriert. Anzeigen