Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Fuzzing: Wie man Heartbleed hätte…

Das wirkliche bittere an solchen Stories ist

  1. Thema

Neues Thema Ansicht wechseln


  1. Das wirkliche bittere an solchen Stories ist

    Autor: Trockenobst 07.04.15 - 17:34

    das hier Firmen mit Milliardenbudgets keine 20 Profis abstellen um solche Fehler und Experimente selbst zu finden. Serverparks bauen sie ja praktisch jede Woche einen neuen, daran kann es nicht scheitern.

    Stattdessen kaufen sie **harte** Bugs für viel $$$$$ das Stück und haben damit überhaupt erst einen Markt entstehen lassen. Wo Sicherheit hinter Geldmachen zurücksteht.

  2. Re: Das wirkliche bittere an solchen Stories ist

    Autor: theonlyone 07.04.15 - 18:58

    OhOh.

    natürlich geben die Firmen Geld aus, kommt ja letztlich von Google der gute Herr einer der Software Packen.

    Das ist nur, wenn dir ein Bug bekannt ist, dann kannst du auch viel sinnvoller nach diesen bugs suchen.

    Das komplexe ist eben nach Bugs zu suchen mit denen man nicht gerechnet hat, gerade in Code den Leute X-fach überlesen haben und der im "Prinzip" tut was er soll wird man nicht noch extra Geld reinblasen um in verschiedenstensten Varianten den immer gleichen Code zu testen.

    Gerade wenn es mit Speicher-Überschreiben und co. zu tun hat lässt sich das eben echt schlecht testen. Das ist nicht einfach so getan mit üblichen Tests, im Prinzip muss man ja die Funktionsfähigkeit der grundlegendsten Funktionen hinterfragen, da für alles "Hacks" existieren und man will ja praktisch ALLES abwehren.

    Das funktioniert eben nicht und der Code ist unter Garantie auch jetzt nicht BugFrei, man hat die möglichen Fehler nur noch nicht gefunden, oder sie werden nicht aktiv ausgenutzt.

    Das ist eine Erkenntnis die man als Informatiker einfach einsehen muss.

    Am Ende muss der Code das tun (möglichst deterministisch) was die Anforderung verlangt, alle Fehlerquellen die einem bekannt sind sollte man abdecken, dann bleibt nur noch auf neue Erkenntnisse schnell zu reagieren ; was auch keine Selbstverständlichkeit ist, gerade wenn die Software Packete deutlich größer und umfangreicher werden und die "Spezialisiten" die das mal gemacht haben schon lange nicht mehr in der Firma sind.


    Demnach, da fließt bereits genug Geld rein, am Ende macht es aber auch wirtschaftlich gar keinen Sinn ZU VIEL in das Testen zu investieren, zumindest nicht als Profis die man monatlich dafür bezahlt.

    Das funktioniert viel besser über reine Unabhängige, so viele Augen wie möglich über den Code schauen lassen und diesen immer wieder grundlegend hinterfragen, da kommt man schon auf viele Dinge, "mit der zeit".

  3. Re: Das wirkliche bittere an solchen Stories ist

    Autor: Trockenobst 07.04.15 - 19:05

    theonlyone schrieb:
    --------------------------------------------------------------------------------
    > Demnach, da fließt bereits genug Geld rein, am Ende macht es aber auch
    > wirtschaftlich gar keinen Sinn ZU VIEL in das Testen zu investieren,
    > zumindest nicht als Profis die man monatlich dafür bezahlt.

    Wenn man bedenkt dass eine Menge Bugs in bestimmten Windows und Adobe Komponenten aufgetreten sind, vor allem dort wo man Fileformate parst (TTF, PDF, DOC, Flash etc.) und somit die Eingabeparameter "variabel" sind, lasse ich es da nicht gelten: "da weiß man nicht nach was man suchen soll".

    Man hat ein sehr konkreten "Anwendungsfall" und zig sehr kritische Bugs. Mit defensiver Programmierung würde so was gar nicht auftreten. Wenn hier ein paar handvoll interessierte Spezialisten solche Themen "finden", was würden dann 100 Spezialisten mit vergoldeter Vollanstellung und 1000 Servern finden?

    Microsoft und Co machen Milliarden im Jahr. Es ist offensichtlich dass man auch bei klaren Anwendungsfällen und sehr kleiner Testmenge es lieber den Hackern überlässt die Fuzzy-Technik anzuwenden. Die paar Millionen im Jahr für 0-Days sind halt billiger.

    Den dabei entstehenden Schaden, etwa durch Datendiebstahl, der in die Milliarden geht - für den muss man ja nicht einstehen. Das übliche halt: Sozialisierung der Kosten und Schäden.

  4. Re: Das wirkliche bittere an solchen Stories ist

    Autor: narea 08.04.15 - 15:56

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > das hier Firmen mit Milliardenbudgets keine 20 Profis abstellen um solche
    > Fehler und Experimente selbst zu finden. Serverparks bauen sie ja praktisch
    > jede Woche einen neuen, daran kann es nicht scheitern.

    Stell dir mal vor Adobe würde das machen für Flash.
    Soviel Speicherplatz haben die nicht, dass das Programm alle Fehler überhaupt irgendwo hin speichern könnte.

  5. Re: Das wirkliche bittere an solchen Stories ist

    Autor: theonlyone 08.04.15 - 17:01

    narea schrieb:
    --------------------------------------------------------------------------------
    > Trockenobst schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > das hier Firmen mit Milliardenbudgets keine 20 Profis abstellen um
    > solche
    > > Fehler und Experimente selbst zu finden. Serverparks bauen sie ja
    > praktisch
    > > jede Woche einen neuen, daran kann es nicht scheitern.
    >
    > Stell dir mal vor Adobe würde das machen für Flash.
    > Soviel Speicherplatz haben die nicht, dass das Programm alle Fehler
    > überhaupt irgendwo hin speichern könnte.

    Achwas ist doch ganz einfach, direkt den ganzen Projekt-Ordner als "Bug" markieren, damit hat man alles abgedeckt ;P

  6. Re: Das wirkliche bittere an solchen Stories ist

    Autor: theonlyone 08.04.15 - 17:01

    narea schrieb:
    --------------------------------------------------------------------------------
    > Trockenobst schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > das hier Firmen mit Milliardenbudgets keine 20 Profis abstellen um
    > solche
    > > Fehler und Experimente selbst zu finden. Serverparks bauen sie ja
    > praktisch
    > > jede Woche einen neuen, daran kann es nicht scheitern.
    >
    > Stell dir mal vor Adobe würde das machen für Flash.
    > Soviel Speicherplatz haben die nicht, dass das Programm alle Fehler
    > überhaupt irgendwo hin speichern könnte.

    Achwas ist doch ganz einfach, direkt den ganzen Projekt-Ordner als "Brain-Bug" markieren, damit hat man alles abgedeckt ;P

  7. Re: Das wirkliche bittere an solchen Stories ist

    Autor: estev 09.04.15 - 14:52

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > Mit defensiver Programmierung würde so was gar nicht auftreten.

    Made my day.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ekom21 - KGRZ Hessen, Darmstadt, Gießen, Kassel
  2. operational services GmbH & Co. KG, Braunschweig
  3. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  4. OSRAM GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 259€ + Versand oder kostenlose Marktabholung
  2. 245,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

Dark Mode: Wann Schwarz-Weiß-Denken weiterhilft
Dark Mode
Wann Schwarz-Weiß-Denken weiterhilft

Viele Nutzer und auch Apple versprechen sich vom Dark Mode eine augenschonendere Darstellung von Bildinhalten. Doch die Funktion bringt andere Vorteile als viele denken - und sogar Nachteile, die bereits bekannte Probleme bei der Arbeit am Bildschirm noch verstärken.
Von Mike Wobker

  1. Sicherheitsprobleme Schlechte Passwörter bei Ärzten
  2. DrEd Online-Arztpraxis Zava will auch in Deutschland eröffnen
  3. Vivy & Co. Gesundheitsapps kranken an der Sicherheit

Projektmanagement: An der falschen Stelle automatisiert
Projektmanagement
An der falschen Stelle automatisiert

Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
Ein Erfahrungsbericht von Marvin Engel


    1. iPhone: Apple warnt Trump vor Einfuhrzöllen auf China-Produktion
      iPhone
      Apple warnt Trump vor Einfuhrzöllen auf China-Produktion

      Apple wehrt sich gegen Einfuhrzölle für seine Produkte, die zum großen Teil von Foxconn in China montiert werden. Zugleich arbeitet Apple an einer Verlagerung nach Südostasien. Foxconn beginnt zeitgleich die Vorbereitungen für die Fertigung neuer iPhones in China

    2. Dunkle Energie: Deutsches Röntgenteleskop Erosita ist startklar
      Dunkle Energie
      Deutsches Röntgenteleskop Erosita ist startklar

      Das Universum dehnt sich immer schneller aus. Der Motor dafür wird - mangels besseren Wissens - als Dunkle Energie bezeichnet. Ein deutsch-russischer Satellit mit einem in Deutschland entwickelten Röntgenteleskop an Bord soll Erkenntnisse über die Dunkle Materie liefern.

    3. Smartphones: Huawei will Android Q für 17 Smartphones bringen
      Smartphones
      Huawei will Android Q für 17 Smartphones bringen

      Der US-Boykott dauert weiter an, Huawei verspricht aber auch künftig Android-Updates für seine Smartphones anbieten zu wollen. Auch das neue Android Q soll für eine Reihe von Geräten erscheinen - Huaweis aktuelle Mitteilung bleibt an einigen Stellen aber vage.


    1. 19:16

    2. 19:02

    3. 17:35

    4. 15:52

    5. 15:41

    6. 15:08

    7. 15:01

    8. 15:00