1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Bundesrechtsanwaltskammer…

Was ist das Audit denn wert ..

  1. Thema

Neues Thema


  1. Was ist das Audit denn wert ..

    Autor: ehwat 22.06.18 - 15:29

    .. wenn der Quelltext nicht zur Verfügung steht?

    >> Im Rahmen der Analyse konnte nicht evaluiert werden, inwiefern die Schwachstellen tatsächlich ausnutzbar sind, da hierfür ein Quelltext-Audit notwendig wäre.

    Bei der Vergangenheit des BeA ist das eigentlich ein schlechter Witz. Das Abklopfen von außen bringt doch niemandem was.

    Das ganze Projekt ist für mich ein klassischer Fall von "gut gemeint ist nicht gut gemacht".

  2. Re: Was ist das Audit denn wert ..

    Autor: chewbacca0815 22.06.18 - 15:43

    ehwat schrieb:
    --------------------------------------------------------------------------------
    > .. wenn der Quelltext nicht zur Verfügung steht?
    >
    > >> Im Rahmen der Analyse konnte nicht evaluiert werden, inwiefern die
    > Schwachstellen tatsächlich ausnutzbar sind, da hierfür ein Quelltext-Audit
    > notwendig wäre.
    >
    > Bei der Vergangenheit des BeA ist das eigentlich ein schlechter Witz. Das
    > Abklopfen von außen bringt doch niemandem was.
    >
    > Das ganze Projekt ist für mich ein klassischer Fall von "gut gemeint ist
    > nicht gut gemacht".

    Was regst Du Dich denn auf über fehlenden Quellcode bei der SQL-Implementierung, wenn - wie im Artikel obenhalb schon geschrieben - die ganze Client-Server-Kommunikation an sich schon als "betriebsverhindernd" klassifiziert worden ist?

    Das ganze Konstrukt ist Müll von vorne bis hinten, welche Teile davon Restmüll oder Biomüll sind, interesiert dann auch keinen mehr, oder?

  3. Re: Was ist das Audit denn wert ..

    Autor: Seismoid 22.06.18 - 15:49

    ehwat schrieb:
    --------------------------------------------------------------------------------
    > Das ganze Projekt ist für mich ein klassischer Fall von "gut gemeint ist
    > nicht gut gemacht".

    Aber juristisch ist dabei sicher alles in Ordnung :)

  4. Re: Was ist das Audit denn wert ..

    Autor: hab (Golem.de) 22.06.18 - 16:28

    ehwat schrieb:
    --------------------------------------------------------------------------------
    > .. wenn der Quelltext nicht zur Verfügung steht?

    Nur zur Klarstellung: So wie ich das Gutachten lese stand der Quellcode durchaus zur Verfügung, wurde von Secunet aber nur "automatisiert" (sprich mit Static-Analysis-Tools) analysiert, da im Auftrag keine manuelle (und daher aufwändige) Untersuchung des Quellcodes enthalten war.

  5. Re: Was ist das Audit denn wert ..

    Autor: ehwat 22.06.18 - 16:32

    chewbacca0815 schrieb:
    --------------------------------------------------------------------------------
    > ehwat schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > Was regst Du Dich denn auf über fehlenden Quellcode bei der
    > SQL-Implementierung, wenn - wie im Artikel obenhalb schon geschrieben - die
    > ganze Client-Server-Kommunikation an sich schon als "betriebsverhindernd"
    > klassifiziert worden ist?
    >
    > Das ganze Konstrukt ist Müll von vorne bis hinten, welche Teile davon
    > Restmüll oder Biomüll sind, interesiert dann auch keinen mehr, oder?

    Aufregen? :) Wo lebst du denn, ich amüsiere mich darüber und lach mir eins ins Fäustchen wenn der Haufen am 15.09 wieder abgeschaltet werden muss ;)

    > Nur zur Klarstellung: So wie ich das Gutachten lese stand der Quellcode durchaus zur Verfügung, wurde > von Secunet aber nur "automatisiert" (sprich mit Static-Analysis-Tools) analysiert, da im Auftrag keine >manuelle (und daher aufwändige) Untersuchung des Quellcodes enthalten war.

    Äh, okay, und was meinst du, lernen die es noch irgendwann bei der Brak oder untersagen Sie dir irgendwann per einstweiliger Verfügung weiter darüber zu berichten? ;)

  6. Re: Was ist das Audit denn wert ..

    Autor: tingelchen 22.06.18 - 17:51

    Womit die Frage dann allerdings auch weiterhin im Raum steht:

    Was ist das Audit dann wert?

    Ein Abklopfen und groben drüber sehen ist kein Audit das die Sicherheit der Software prüfen soll. Es geht dabei ja nicht nur darum das die Verschlüsselung funktioniert. Sondern auch darum dass die Software einem Angreifer nicht erlaubt Sicherheitslücken aus zu nutzen. Womit die Verschlüsselung (auch bei echtem P-t-P) unterwandert werden kann und damit das komplette BeA kompromittiert werden kann.

  7. Re: Was ist das Audit denn wert ..

    Autor: intnotnull12 24.06.18 - 18:33

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > ehwat schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > .. wenn der Quelltext nicht zur Verfügung steht?
    >
    > Nur zur Klarstellung: So wie ich das Gutachten lese stand der Quellcode
    > durchaus zur Verfügung, wurde von Secunet aber nur "automatisiert" (sprich
    > mit Static-Analysis-Tools) analysiert, da im Auftrag keine manuelle (und
    > daher aufwändige) Untersuchung des Quellcodes enthalten war.

    Sollte man fürs Protokoll aber mal klar so festhalten: Der Quellcode wurde also *immer noch nicht* extern überprüft.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Gruppenleiter Applikationsmanagement (m/w/d)
    IT-Consult Halle GmbH, Halle (Saale)
  2. Scrum Master (m/w/d)
    Trox GmbH, Neukirchen-Vluyn
  3. Application Manager (w/m/d)
    ING Deutschland, Frankfurt am Main
  4. Sachgebietsleiter (m/w/d) Business Development & Evaluation
    Mainova AG, Frankfurt am Main

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. basierend auf Verkaufszahlen
  2. basierend auf Verkaufszahlen


Haben wir etwas übersehen?

E-Mail an news@golem.de


Digitale-Dienste-Gesetz: Regierung bessert bei der Störerhaftung nach
Digitale-Dienste-Gesetz
Regierung bessert bei der Störerhaftung nach

Bei der Umsetzung des DSA in deutsches Recht soll der Schutz vor kostenpflichtigen Abmahnungen nun doch beibehalten bleiben.
Ein Bericht von Friedhelm Greis

  1. Störerhaftung Verbraucherschützer befürchten neue Abmahnwelle bei WLANs

Sony: Playstation 5 Standard versus PS5 Slim
Sony
Playstation 5 Standard versus PS5 Slim

Ein bisschen kleiner und schlanker: Golem.de hat die Playstation 5 Slim ausprobiert - und vergleicht die Konsole mit der bisher verfügbaren PS5.
Von Peter Steinlechner

  1. Dualsense Edge Nutzer beklagen Qualitätsprobleme bei 240-Euro-Controller
  2. Handheld Sony-Manager deutet Spielestreaming auf PS Portal an
  3. Playstation Portal im Test Dualsense mit Display - und Lag

Zbox Pico PI430AJ: Flotter Mini-PC mit Solid-State-Kühlung
Zbox Pico PI430AJ
Flotter Mini-PC mit Solid-State-Kühlung

Die fast lautlosen Kühler von Frore Systems funktionieren gut. Mehr Leistung auf so kleinem Raum ist kaum möglich. Eine ARM-CPU wäre aber spannend.
Ein Test von Martin Böckmann