Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Fuzzing: Wie man Heartbleed hätte…

Das wirkliche bittere an solchen Stories ist

  1. Thema

Neues Thema Ansicht wechseln


  1. Das wirkliche bittere an solchen Stories ist

    Autor: Trockenobst 07.04.15 - 17:34

    das hier Firmen mit Milliardenbudgets keine 20 Profis abstellen um solche Fehler und Experimente selbst zu finden. Serverparks bauen sie ja praktisch jede Woche einen neuen, daran kann es nicht scheitern.

    Stattdessen kaufen sie **harte** Bugs für viel $$$$$ das Stück und haben damit überhaupt erst einen Markt entstehen lassen. Wo Sicherheit hinter Geldmachen zurücksteht.

  2. Re: Das wirkliche bittere an solchen Stories ist

    Autor: theonlyone 07.04.15 - 18:58

    OhOh.

    natürlich geben die Firmen Geld aus, kommt ja letztlich von Google der gute Herr einer der Software Packen.

    Das ist nur, wenn dir ein Bug bekannt ist, dann kannst du auch viel sinnvoller nach diesen bugs suchen.

    Das komplexe ist eben nach Bugs zu suchen mit denen man nicht gerechnet hat, gerade in Code den Leute X-fach überlesen haben und der im "Prinzip" tut was er soll wird man nicht noch extra Geld reinblasen um in verschiedenstensten Varianten den immer gleichen Code zu testen.

    Gerade wenn es mit Speicher-Überschreiben und co. zu tun hat lässt sich das eben echt schlecht testen. Das ist nicht einfach so getan mit üblichen Tests, im Prinzip muss man ja die Funktionsfähigkeit der grundlegendsten Funktionen hinterfragen, da für alles "Hacks" existieren und man will ja praktisch ALLES abwehren.

    Das funktioniert eben nicht und der Code ist unter Garantie auch jetzt nicht BugFrei, man hat die möglichen Fehler nur noch nicht gefunden, oder sie werden nicht aktiv ausgenutzt.

    Das ist eine Erkenntnis die man als Informatiker einfach einsehen muss.

    Am Ende muss der Code das tun (möglichst deterministisch) was die Anforderung verlangt, alle Fehlerquellen die einem bekannt sind sollte man abdecken, dann bleibt nur noch auf neue Erkenntnisse schnell zu reagieren ; was auch keine Selbstverständlichkeit ist, gerade wenn die Software Packete deutlich größer und umfangreicher werden und die "Spezialisiten" die das mal gemacht haben schon lange nicht mehr in der Firma sind.


    Demnach, da fließt bereits genug Geld rein, am Ende macht es aber auch wirtschaftlich gar keinen Sinn ZU VIEL in das Testen zu investieren, zumindest nicht als Profis die man monatlich dafür bezahlt.

    Das funktioniert viel besser über reine Unabhängige, so viele Augen wie möglich über den Code schauen lassen und diesen immer wieder grundlegend hinterfragen, da kommt man schon auf viele Dinge, "mit der zeit".

  3. Re: Das wirkliche bittere an solchen Stories ist

    Autor: Trockenobst 07.04.15 - 19:05

    theonlyone schrieb:
    --------------------------------------------------------------------------------
    > Demnach, da fließt bereits genug Geld rein, am Ende macht es aber auch
    > wirtschaftlich gar keinen Sinn ZU VIEL in das Testen zu investieren,
    > zumindest nicht als Profis die man monatlich dafür bezahlt.

    Wenn man bedenkt dass eine Menge Bugs in bestimmten Windows und Adobe Komponenten aufgetreten sind, vor allem dort wo man Fileformate parst (TTF, PDF, DOC, Flash etc.) und somit die Eingabeparameter "variabel" sind, lasse ich es da nicht gelten: "da weiß man nicht nach was man suchen soll".

    Man hat ein sehr konkreten "Anwendungsfall" und zig sehr kritische Bugs. Mit defensiver Programmierung würde so was gar nicht auftreten. Wenn hier ein paar handvoll interessierte Spezialisten solche Themen "finden", was würden dann 100 Spezialisten mit vergoldeter Vollanstellung und 1000 Servern finden?

    Microsoft und Co machen Milliarden im Jahr. Es ist offensichtlich dass man auch bei klaren Anwendungsfällen und sehr kleiner Testmenge es lieber den Hackern überlässt die Fuzzy-Technik anzuwenden. Die paar Millionen im Jahr für 0-Days sind halt billiger.

    Den dabei entstehenden Schaden, etwa durch Datendiebstahl, der in die Milliarden geht - für den muss man ja nicht einstehen. Das übliche halt: Sozialisierung der Kosten und Schäden.

  4. Re: Das wirkliche bittere an solchen Stories ist

    Autor: narea 08.04.15 - 15:56

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > das hier Firmen mit Milliardenbudgets keine 20 Profis abstellen um solche
    > Fehler und Experimente selbst zu finden. Serverparks bauen sie ja praktisch
    > jede Woche einen neuen, daran kann es nicht scheitern.

    Stell dir mal vor Adobe würde das machen für Flash.
    Soviel Speicherplatz haben die nicht, dass das Programm alle Fehler überhaupt irgendwo hin speichern könnte.

  5. Re: Das wirkliche bittere an solchen Stories ist

    Autor: theonlyone 08.04.15 - 17:01

    narea schrieb:
    --------------------------------------------------------------------------------
    > Trockenobst schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > das hier Firmen mit Milliardenbudgets keine 20 Profis abstellen um
    > solche
    > > Fehler und Experimente selbst zu finden. Serverparks bauen sie ja
    > praktisch
    > > jede Woche einen neuen, daran kann es nicht scheitern.
    >
    > Stell dir mal vor Adobe würde das machen für Flash.
    > Soviel Speicherplatz haben die nicht, dass das Programm alle Fehler
    > überhaupt irgendwo hin speichern könnte.

    Achwas ist doch ganz einfach, direkt den ganzen Projekt-Ordner als "Bug" markieren, damit hat man alles abgedeckt ;P

  6. Re: Das wirkliche bittere an solchen Stories ist

    Autor: theonlyone 08.04.15 - 17:01

    narea schrieb:
    --------------------------------------------------------------------------------
    > Trockenobst schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > das hier Firmen mit Milliardenbudgets keine 20 Profis abstellen um
    > solche
    > > Fehler und Experimente selbst zu finden. Serverparks bauen sie ja
    > praktisch
    > > jede Woche einen neuen, daran kann es nicht scheitern.
    >
    > Stell dir mal vor Adobe würde das machen für Flash.
    > Soviel Speicherplatz haben die nicht, dass das Programm alle Fehler
    > überhaupt irgendwo hin speichern könnte.

    Achwas ist doch ganz einfach, direkt den ganzen Projekt-Ordner als "Brain-Bug" markieren, damit hat man alles abgedeckt ;P

  7. Re: Das wirkliche bittere an solchen Stories ist

    Autor: estev 09.04.15 - 14:52

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > Mit defensiver Programmierung würde so was gar nicht auftreten.

    Made my day.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. TenneT TSO GmbH, Bayreuth, Arnheim (Niederlande)
  2. Optimol Instruments Prüftechnik GmbH, München
  3. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  4. hubergroup Deutschland GmbH, Kirchheim bei München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. 17,99€
  3. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)
  4. 3,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Indiegames-Rundschau: Killer trifft Gans
Indiegames-Rundschau
Killer trifft Gans

John Wick Hex ist ein gelungenes Spiel zum Film, die böse Gans sorgt in Untitled Goose Game für Begeisterung und in Noita wird jeder Pixel simuliert: Die Indiegames des Monats sind abwechslungsreich und hochwertig wie selten zuvor.
Von Rainer Sigl

  1. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln
  2. Indiegames-Rundschau Epische ASCII-Abenteuer und erlebnishungrige Astronauten
  3. Indiegames-Rundschau Von Bananen und Astronauten

  1. Mozilla: Firefox 70 zeigt Übersicht zu Tracking-Schutz
    Mozilla
    Firefox 70 zeigt Übersicht zu Tracking-Schutz

    Der Tracking-Schutz des Firefox blockiert sehr viele Elemente, die in der aktuellen Version 70 des Browsers für die Nutzer ausgewertet werden. Der Passwortmanager Lockwise ist nun Teil des Browsers und die Schloss-Symbole für HTTPS werden verändert.

  2. Softbank: Wework fällt von 47 auf 8 Milliarden US-Dollar
    Softbank
    Wework fällt von 47 auf 8 Milliarden US-Dollar

    In einer neuen Vereinbarung erlangt die japanische Softbank die Kontrolle über das Co-Working-Startup Wework. Es fällt dabei erheblich im Wert und entgeht dem drohenden Bankrott.

  3. The Outer Worlds im Test: Feuergefechte und Fiesheiten am Rande des Universums
    The Outer Worlds im Test
    Feuergefechte und Fiesheiten am Rande des Universums

    Ballern in der Ego-Perspektive plus klassisches Rollenspiel: Darum geht es in The Outer Worlds von Obsidian Entertainment (Fallout New Vegas). Beim Test hat sich das Abenteuer als schön kranker Spaß mit B-Movie-Charme entpuppt.


  1. 16:42

  2. 16:00

  3. 15:01

  4. 14:55

  5. 14:53

  6. 14:30

  7. 13:35

  8. 12:37