1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BeA: Bundesrechtsanwaltskammer…
  6. Th…

Vielleicht so gewollt

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Re: Vielleicht so gewollt

    Autor: GodsBoss 26.12.17 - 21:50

    > > Ich setze keine Cookies. Und nun?
    >
    > Wenn du mit Sessions arbeitest tust du das schon implizit und wenn nicht
    > ist es eine sehr überschaubare Anwendung, falls du es doch tust aber
    > nicthmal weisst wirds ganz kritisch

    Achso, weil man Sessions ausschließlich über Cookies realisieren kann? Ich glaube nicht.

    Übrigens kennt beispielsweise die Google Cloud API über API-Keys realisierte Zugriffs-Berechtigungen, also ohne Sessions. Deiner Ansicht nach handelt es sich also bei der Google Cloud* um eine "überschaubare Anwendung", daher interessiert mich nun brennend, was denn eine Anwendung wäre, die darüber hinausgeht.

    * Besteht natürlich nicht aus einem einzigen Programm, gemeint ist hier das große Ganze.

    > > > Oder anders formuliert: Nachdem https ein wesentlicher Bestandteil des
    > > > Services ist musst du davon Ahnung haben und dich damit
    > > auseinandersetzen
    > > > weil du sonst im Zweifel gar nicht in der Lage bist die richtigen
    > Fragen
    > > > überhaupt zu stellen
    > >
    > > Versteh mich nicht falsch: Ich habe mich aus anderen Gründen mit dem
    > Thema
    > > auseinandergesetzt, und natürlich finde ich auch besser, wenn Leute mehr
    > > wissen, gerade bei Sicherheits-Themen, aber für die Sachen, an denen ich
    > > arbeite, ist dieses Wissen schlicht nutzlos.
    >
    > Irrtum - Es gibt kein nutzloses Wissen!
    > Mag für Fachidioten die bei einem Projekt nur ein promille beisteuern
    > anders aussehen aber auch da ist es ein Irrtum der viele Dinge die falsch
    > laufen erklärt weil eben nur Müll rauskommt wenn jeder nur drüber nachdenkt
    > was ihn alles nichts angeht und keiner in der Lage ist die richtigen Fragen
    > zu stellen

    Ich schrieb "für die Sachen, an denen ich arbeite, ist dieses Wissen schlicht nutzlos". Nicht, dass dieses Wissen grundsätzlich nutzlos ist.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  2. Re: Vielleicht so gewollt

    Autor: LearnYourJob 26.12.17 - 21:57

    GodsBoss schrieb:
    --------------------------------------------------------------------------------
    > > > Ich setze keine Cookies. Und nun?
    > >
    > > Wenn du mit Sessions arbeitest tust du das schon implizit und wenn nicht
    > > ist es eine sehr überschaubare Anwendung, falls du es doch tust aber
    > > nicthmal weisst wirds ganz kritisch
    >
    > Achso, weil man Sessions ausschließlich über Cookies realisieren kann? Ich
    > glaube nicht.

    Nö, aber Session-ID's in der URL sind eine grenzdebile Idee weil sie beim Klick auf einen 3rd-Party Link im Rerferer stehen und damit sowohl im Logfile des Zielservers als auch aus der Zielanwendung zu extrahieren sind - Auch das weiss man wenn man HTTP beherrscht

    > Übrigens kennt beispielsweise die Google Cloud API über API-Keys
    > realisierte Zugriffs-Berechtigungen, also ohne Sessions. Deiner Ansicht
    > nach handelt es sich also bei der Google Cloud* um eine "überschaubare
    > Anwendung", daher interessiert mich nun brennend, was denn eine Anwendung
    > wäre, die darüber hinausgeht.

    Für simple Requests von anderen Servern OK, aber DEINE Anwendung bleibt trotzdem überschaubar wenn ihre einzige Aufgabe es ist ein paar API-Calls zu anderen Diensten abzufeuern

    > > Irrtum - Es gibt kein nutzloses Wissen!
    > > Mag für Fachidioten die bei einem Projekt nur ein promille beisteuern
    > > anders aussehen aber auch da ist es ein Irrtum der viele Dinge die
    > falsch
    > > laufen erklärt weil eben nur Müll rauskommt wenn jeder nur drüber
    > nachdenkt
    > > was ihn alles nichts angeht und keiner in der Lage ist die richtigen
    > Fragen
    > > zu stellen
    >
    > Ich schrieb "für die Sachen, an denen ich arbeite, ist dieses Wissen
    > schlicht nutzlos". Nicht, dass dieses Wissen grundsätzlich nutzlos ist.

    Ohne dieses WIssen bist du aber nicht in der Lage für den entsrepchenden Case überhaupt zu entscheiden ob es relevant ist - Klingt komisch ist aber so - Es gibt nur eine einzige Ausnahme: Code-Monkey der immer nur das gleiche macht und alles vorgekaut bekommt



    1 mal bearbeitet, zuletzt am 26.12.17 21:59 durch LearnYourJob.

  3. Re: Vielleicht so gewollt

    Autor: GodsBoss 29.12.17 - 22:57

    > > > > Ich setze keine Cookies. Und nun?
    > > >
    > > > Wenn du mit Sessions arbeitest tust du das schon implizit und wenn
    > nicht
    > > > ist es eine sehr überschaubare Anwendung, falls du es doch tust aber
    > > > nicthmal weisst wirds ganz kritisch
    > >
    > > Achso, weil man Sessions ausschließlich über Cookies realisieren kann?
    > Ich
    > > glaube nicht.
    >
    > Nö, aber Session-ID's in der URL sind eine grenzdebile Idee weil sie beim
    > Klick auf einen 3rd-Party Link im Rerferer stehen und damit sowohl im
    > Logfile des Zielservers als auch aus der Zielanwendung zu extrahieren sind
    > - Auch das weiss man wenn man HTTP beherrscht

    Ich wollte erst noch schreiben "und ich meine nicht, dass man eine Session-ID in die URL steckt". Klar, dass du jetzt genau das schreibst und andere Möglichkeiten außen vor lässt.

    Und komm endlich mal weg von dieser Webseiten-Klick-Geschichte. 99% dessen, was ich mit HTTP mache, wird nicht von einem Webbrowser angefragt.

    > > Übrigens kennt beispielsweise die Google Cloud API über API-Keys
    > > realisierte Zugriffs-Berechtigungen, also ohne Sessions. Deiner Ansicht
    > > nach handelt es sich also bei der Google Cloud* um eine "überschaubare
    > > Anwendung", daher interessiert mich nun brennend, was denn eine
    > Anwendung
    > > wäre, die darüber hinausgeht.
    >
    > Für simple Requests von anderen Servern OK, aber DEINE Anwendung bleibt
    > trotzdem überschaubar wenn ihre einzige Aufgabe es ist ein paar API-Calls
    > zu anderen Diensten abzufeuern

    Ich rede von der Google Cloud selbst. Ist das so schwer? Klar, die kennt auch Session-Mechanismen, aber tun wir mal so, als käme die Google Cloud ohne aus und würde nur die API Keys nutzen. Wäre das resultierende Konstrukt eine "überschaubare Anwendung"?

    > > > Irrtum - Es gibt kein nutzloses Wissen!
    > > > Mag für Fachidioten die bei einem Projekt nur ein promille beisteuern
    > > > anders aussehen aber auch da ist es ein Irrtum der viele Dinge die
    > > falsch
    > > > laufen erklärt weil eben nur Müll rauskommt wenn jeder nur drüber
    > > nachdenkt
    > > > was ihn alles nichts angeht und keiner in der Lage ist die richtigen
    > > Fragen
    > > > zu stellen
    > >
    > > Ich schrieb "für die Sachen, an denen ich arbeite, ist dieses Wissen
    > > schlicht nutzlos". Nicht, dass dieses Wissen grundsätzlich nutzlos ist.
    >
    > Ohne dieses WIssen bist du aber nicht in der Lage für den entsrepchenden
    > Case überhaupt zu entscheiden ob es relevant ist - Klingt komisch ist aber
    > so - Es gibt nur eine einzige Ausnahme: Code-Monkey der immer nur das
    > gleiche macht und alles vorgekaut bekommt

    Das stimmt doch überhaupt nicht. Wenn jemand nichts mit Cookies macht, was hat er denn davon, zu wissen, wie man sie sicher macht? Wenn der Case kommt, kann sich derjenige immer noch informieren. Ich bin durchaus jemand, der lieber mehr weiß, und auch in Spezifikationen und Implementierungen reinschaut, auch wenn die nur am Rande wichtig sind, und ich kann dir sagen, dass ich jetzt keinen Fall wüsste, wo ich mir, wenn ich anders wäre, notwendiges Wissen nicht zeitig besorgt hätte.

    Zeit ist nunmal begrenzt und sie kann durchaus besser dafür eingesetzt werden, sich zu den Dingen zu bilden, die man tatsächlich macht. Wenn jemand, der das Ergebnis eines HTTPS-Requests in einer Datei speichern möchte, erst mal alle Spezifikationen und Erklärungen zu TLS, HTTP, TCP/IP, dem Netzwerk-Stack seines Betriebssystems und dem verwendeten Dateisystem liest, wird der ja alt und grau.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  4. Re: Vielleicht so gewollt

    Autor: LearnYourJob 29.12.17 - 23:02

    Mag für dich so sein, Leute die nicht erst nachschauen müssen sondern ihre Werkzeuge kennen haben dir trotzdem vieles voraus und machen Fehler die dir passieren oft nicht weil sie undenkbar erscheinen wenn man mehr als nur seine Insel beherrscht

  5. Re: Vielleicht so gewollt

    Autor: katze_sonne 30.12.17 - 11:12

    LearnYourJob schrieb:
    --------------------------------------------------------------------------------
    > katze_sonne schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ob bei HTTPS die Header verschlüsselt sind? Was weiß ich denn - obwohl
    > ich
    > > eigentlich einen recht guten Überblick beim Thema Verschlüsselung und
    > > Kryptographie habe. Das guck ich nach, wenn ich es brauche, und hab das
    > nen
    > > Jahr später wieder vergessen. Also tut mir leid, aber was manche hier
    > für
    > > Ansichten haben... nicht normal.
    >
    > Was weiß denn ich?
    Ja, mit HTTP usw. hab ich recht wenig zu tun.

    > Wenn du Webanwendungen schreibst solltest du das Basiswissen haben dass
    > Cookies Flags wie 'httponly' und 'secure' kennen, dass das weiters bedeutet
    > Cookies werden als HTTP-Header gesendet und dass das Secure-Flag dafür
    > sorgt dass der Bowser auch wenn du nur "www.domain.tld" eintippst und der
    > Server statt HTST (HTTP Strict Transport Security) dann nur einen Redirect
    > auf https macht Cookies niemals unverschlüsselt zurückschickt (Ansonsten
    > würde der Session-Cookie beim Request vor dem Redirect bereits
    > unverschlüsselt über die Leitung gehen)
    >
    > Anders gesagt: Und mit diesem Basiswissen dass du haben MUSST ohne
    > nachzusehen beantwortet sich die Frage automatisch
    Naja, wenn es dich beruhigt: ich bin kein Webentwickler.

    Ich bin jetzt fast durch mit meinem Master Informatik. Habe im Bachelor und Master alle Security relatierten Vorlesungen gewählt. Natürlich hab ich keinen Security-Studiengang gemacht. Sich zusätzlich privat damit zu beschäftigen, viel mehr kann man da auch nicht machen. Und ein "Profi" bin ich garantiert nicht, das hab ich auch nie geschrieben. Mir ist klar, dass ich nur ein "dummer Student" bin. Aber wie viel zusätzliche Theorie lernt man denn später noch im Job? Das dürfte wohl eher die Praxis sein, die man sich dort aneignet.

    > Wenn du sowas nicht weisst kommen eben Dinge raus wie "Die Loginseite
    > machen wir https, den Rest nicht reicht doch" die dazu führen dass bei
    > jedem Folgerequest in einem Fremden Netzwerk jeder deinen Login-Cookie
    > auslesen und deinen Account übernehmen und ein neues Passwort setzen kann
    Ach was, dazu brauch ich nicht jedes Detail der Implementierung auswendig kennen, der Angriff den du hier beschreibst, gehört zu den absoluten Grundlagen, was Security angeht. Wer sowas nicht weiß, dem geht Sicherheit eh am Arsch vorbei und da gibt es leider viel zu viele von. DAS ist das große Problem.

    > "Das guck ich nach, wenn ich es brauche" ist Unsinn weil du mit der
    > Einstellung gar nicht in der Lage bist zu wissen was du brauchst und
    > eigentlich nachsehen müsstest
    Klar. Wenn man etwas mal gemacht und gewusst hat, weiß man meistens später nicht mehr die Details, aber hat noch den wichtigen groben Überblick.

    > Ja und deine Einstellung "Guck ich halt mal auf Stackoverflow" ist der
    > Grund für Artikel wie den von dir kommentierten
    Ich würde sagen, hier hat jemand was zudammengefrickelt und Desinteresse am Thema gehabt.

    > Wenn du auch nur einen Hauch von Wissen über http/https hast (Von wegen
    > "guten Überblick beim Thema Verschlüsselung und Kryptographie habe" - hast
    > du eben NICHT) wüsstest du das schon alleine weil dir dann der Begriff SNI
    > geläufig sein müsste (de.wikipedia.org ist er offenbar aber nicht denn
    > sonst würde sich die Frage ob die Header verschlüsselt sind auch nicht
    > stellen
    SNI usw. = Details des TLS-Protokolls, nicht Überblick. Außerdem: Ich weiß, wie Verschlüsselung funktioniert, asymmetrische und symmetrische Kryptographie usw. - aber ich habe als Schwerpunkt für mein Studium halt mobile Robotik und eingebettete Systeme gewählt - was die Softwaresicherheit angeht natürlich ein ganz anderes Themengebiet. Und ja, wie SQL-Injections usw. funktionieren weiß ich auch. Aber irgendwo kann man halt nicht mehr alles wissen.

    > UND DAS ist das Problem: Heute darf sich jeder "Entwickler" schimpfen
    > sobald er es irgendwie hinbekommt aus einem Haufen von Abstraktionslayers
    > und Frameworks mit einer handvoll eigener Codezeilen deren Auswirkungen er
    > nicht ansatzweise versteht irgendwas zusammenkloppen kann das auf den
    > ersten Blick zu funktionieren scheint, aber Gnade Gott es schaut mal jemand
    > genauer hin oder versucht gar es anzugreifen (Jaja, darf er nicht, ihr habt
    > ja in Deutschland ein Gesetz dass das verbietet an das sich ganz sicher
    > auch alle Hacker halten)
    Da kann ich dir nur zustimmen.

    > "was manche hier für Ansichten haben... nicht normal" - Ja, du vor allem -
    Wenn du meinst...

    > Echt jede Zeile deines Kommentars macht mich im Hinblick auf 15 Jahre
    > Erfahrung und die wöchentlichen Berichte wo lachhaft geschlampt wird so
    > zorning dass ich mich extra angemeldet habe weil man deinen Unsinn so nicht
    > stehen lassen darf damit das ja keiner für voll nimmt der dann den
    > nächsten Secuirty-Gau zusammenstümpert
    Das tut mir jetzt aber leid für dich.

    > Zusammengefasst: Du hast die verdammten Protokolle zu kennen mit denen du
    > arbeitest oder die Finger davon zu lassen und wenn du alles nach einem Jahr
    > wieder vergessen hast dann bist du als Entwickler schlichtweg falsch im Job
    Ich hab nie gesagt, dass ich mit den Protokollen hier arbeite. Natürlich stimmt das, was du sagst. Die Ansicht, die hier aber leider einige vertreten ist: Jeder verdammte Entwickler soll jedes einzelne Protokoll, dass es in der Informatik gibt, kennen. Und DAS finde ich daneben. Jemand, der z.B. an Netzwerktreibern arbeitet, sollte auch im OSI-Modell, ... drin sind. Naja, whatsever.

  6. Re: Vielleicht so gewollt

    Autor: LearnYourJob 30.12.17 - 11:34

    Keiner sprach davon dass jeder alles kennen muss aber wenn ein langjähriger WEBENTWICKLER fragt ob die header verschlüsselt sind hat er als Antwort die Kündigung zu bekommen anstatt ein Schulterklopfen weil er sich endlich für das Grundlagenwissen dass er all die Jahre hätte haben müssen interessiert

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SAP QM/MES Spezialist (m/w/d)
    Müller Service GmbH, Leppersdorf
  2. (Junior) Mathematiker / Aktuar / Analyst (m/w/d) Actuarial Function Non-Life Calculation Unit
    Generali Deutschland AG, Köln
  3. Operations Manager - IT-Security (m/w/d)
    operational services GmbH & Co. KG, Hamburg, Frankfurt am Main, München
  4. Quality Assurance (QA) Executive (m/w/d)
    Fressnapf Holding SE, Düsseldorf

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 29,99€
  2. (u. a. Rocksmith für 8,99€, Star Trek Bridge Crew für 9,50€, Tales of Berseria für 6,99€)
  3. Über 3400 Angebote mit bis zu 90 Prozent Rabatt


Haben wir etwas übersehen?

E-Mail an news@golem.de