Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Linux-Shell: Bash-Sicherheitslücke…

Verrückt.

  1. Thema

Neues Thema Ansicht wechseln


  1. Verrückt.

    Autor: ooKEKSKILLERoo 24.09.14 - 18:24

    Ich bin immer wieder erstaunt über welche Wege man in Systeme eindringen oder diese manipulieren kann.

  2. Re: Verrückt.

    Autor: contentmafia 24.09.14 - 18:40

    > Bash ermöglicht es, mittels Umgebungsvariablen Funktionen zu definieren.

    Und ich bin immer wieder erstaunt, dass Entwickler Dinge in Projekte einbringen dürfen, die für 92,5% aller Nutzer so überflüssig sind, dass nicht mal die Tester ihnen Aufmerksamkeit schenken, bevor diese "Features" dann zum Einfallstor für Vandalen werden.



    2 mal bearbeitet, zuletzt am 24.09.14 18:43 durch contentmafia.

  3. Re: Verrückt.

    Autor: Astorek 24.09.14 - 21:02

    contentmafia schrieb:
    --------------------------------------------------------------------------------
    > > Bash ermöglicht es, mittels Umgebungsvariablen Funktionen zu definieren.
    >
    > Und ich bin immer wieder erstaunt, dass Entwickler Dinge in Projekte
    > einbringen dürfen, die für 92,5% aller Nutzer so überflüssig sind, dass
    > nicht mal die Tester ihnen Aufmerksamkeit schenken, bevor diese "Features"
    > dann zum Einfallstor für Vandalen werden.

    Ich hab das Feature immer gern benutzt, um eine schöne Alternative zu "ps aux | grep" zu haben^^.

    psg() { ps auxw | grep -v grep | grep -E (^USER.*COMMAND$|$@)"; }

    ... oder verwechsle ich grad was?

  4. Re: Verrückt.

    Autor: Gamma Ray Burst 24.09.14 - 21:03

    contentmafia schrieb:
    --------------------------------------------------------------------------------
    > > Bash ermöglicht es, mittels Umgebungsvariablen Funktionen zu definieren.
    >
    > Und ich bin immer wieder erstaunt, dass Entwickler Dinge in Projekte
    > einbringen dürfen, die für 92,5% aller Nutzer so überflüssig sind, dass
    > nicht mal die Tester ihnen Aufmerksamkeit schenken, bevor diese "Features"
    > dann zum Einfallstor für Vandalen werden.

    Ja, wenn man sich ansieht das es Programme gibt bei denen das Build/makefile gefuehlt komplexer und länger ist als der eigentliche code (maximal dependecies).

    Bei der frameworkauswahl eher der modische geschmack entscheidet (php ist voll cool, node.js ja JavaScript auf dem Server), als zu versuchen die Technologien so auszusuchen das sie zum Zweck passen.

    Man sich keinerlei Gedanken ueber das outscaling macht (oh ich kann gar nicht auf 2 server Skalieren, aber der io killt mich).

    Systemarchitektur, Logging, sicherer remote Access, Schlüsselmanagement.

    Ja und dann kommt noch die Sicherheit ist so schwierig, weil sie sich aus all diesen Betrachtungen und Schritten ergibt. Einige reduzieren das dann auf Linux+mysql+apache+php+html5+javascript. MySQL: ist ein beliebtes Ziel für database Injektion, Apache kann man leicht falsch konfigurieren, php (sollte verboten werden, verdient nicht den Namen programmiersprache) und JavaScript (sparsam einsetzen, prima geeignet für cross Site scripting).

    Logging ist meiner Ansicht nach eine verkannte und unterschätzte Disziplin. Es reicht nicht aus hin und wieder per grep reinzusehen, das muss man systematisch machen, logstash, assimilation, nagios etc

    Die Antwort auf diese Komplexitaet ist dann oft PHP oder irgendwelche Hacks.

  5. Re: Verrückt.

    Autor: mambokurt 25.09.14 - 00:45

    Na na na,
    A) hat dein Post gar nichts mit dem Thema zu tun
    B) ist das Problem nie Php gewesen, du kannst einer Sprache schlecht vorwerfen dass sie zu einfach zu lernen ist. Das Problem sind dann eher Noobs, die sich null um Sicherheit scheren...

  6. Re: Verrückt.

    Autor: DNAofDeath 25.09.14 - 02:10

    mambokurt schrieb:
    --------------------------------------------------------------------------------
    > Na na na,
    > A) hat dein Post gar nichts mit dem Thema zu tun
    > B) ist das Problem nie Php gewesen, du kannst einer Sprache schlecht
    > vorwerfen dass sie zu einfach zu lernen ist. Das Problem sind dann eher
    > Noobs, die sich null um Sicherheit scheren...

    Also 95% ALLER (kommerziellen und nicht kommerziellen) PHP-Entwickler?
    Der Rest der 5% regt sich den ganzen Tag auf, dass er in historisch gewachsenem PHP-Code 'baden' muss, und sich dabei fast die Finger verätzt an den Tasten der Tastatur, so ätzend wie der Code meist nach 5 Jahren aussieht...

    Selbst mittelgroße (20-30 Mitarbeiter) Firmen, die PHP benutzen habe ich schon gesehen und mir die Hände über dem Kopf zusammengeschlagen, keine Versionierung, kein 1C-Deployment, kein CI, kein Agile, keine firmeninternen Richtlinien wie Code auszusehen hat, kein Ticketsystem bzw. irgendeinen selbst zusammengeknallten Dreck, Pen-Testing Tools wie z.B. Acunetix? "WOZU DENN? VIEL ZU TEUER SCHEISS AUF DIE LÜCKEN!!!" denkt sich da sicher so mancher Verantwortliche... und wundert sich nachher wieso das SO nicht funktionieren kann...

    Und das geht durch die Bank so, außer bei GANZ wenigen Ausnahmen, die dann aber meist auch sehr spezialisiertes Zeug in PHP machen oder SEHR junge Firmen sind.

    Im Bereich C++/C/C#/Java sieht es (meistens, auch nicht zu 100%) da schon besser aus, weil die Industriellen Unterstützer der IDEs (wie bei PHP es z.B., die Firma hinter PHPStorm macht, den ganzen Krams aber wohl Niemand benutzen will...)/Sprachen einfach gleich die nötigen modernen Tools hinterherschießen, mit denen man eben dafür sorgt, ein gutes Umfeld zu haben, in welchem man vernünftig Software entwickeln kann.

    Das Ganze ist jetzt natürlich mega Offtopic, aber SCNR.



    2 mal bearbeitet, zuletzt am 25.09.14 02:14 durch DNAofDeath.

  7. Re: Verrückt.

    Autor: mwatt 25.09.14 - 02:45

    Sie haben sich nicht nur für den Award der Leute die sich selbst für die 1% der schlausten Menschen halten qualifiziert, sondern auch für die 1% der blödesten Kommentare diesen Jahres.

  8. Re: Verrückt.

    Autor: ooKEKSKILLERoo 25.09.14 - 03:02

    mwatt schrieb:
    --------------------------------------------------------------------------------
    > Sie haben sich nicht nur für den Award der Leute die sich selbst für die 1%
    > der schlausten Menschen halten qualifiziert, sondern auch für die 1% der
    > blödesten Kommentare diesen Jahres.

    +1

  9. Re: Verrückt.

    Autor: SelfEsteem 25.09.14 - 05:38

    mwatt schrieb:
    --------------------------------------------------------------------------------
    > Sie haben sich nicht nur für den Award der Leute die sich selbst für die 1%
    > der schlausten Menschen halten qualifiziert, sondern auch für die 1% der
    > blödesten Kommentare diesen Jahres.

    Nein, er uebertreibt zwar gewaltig, aber voellig unrecht hat er nicht.

    Das kannst du btw. relativ gut an den Preisen am Markt ablesen.
    Ist eine Firma knapp bei Kasse und braucht PHP-Entwickler, laesst sich fuer 18.000 Brutto im Jahr locker einer anheuern (geruechteweise sogar noch niedriger, hab ich selbst bislang aber glaub ich noch nicht gesehen).
    Die Flut an Entwicklern bei der Sprache kommt imho aus der geringen Einstiegshuerde, nur ... was glaubst du denn, wen du dafuer bekommst?

    Das sagt nichts ueber gute PHP-Entwickler aus, die es selbstverstaendlich genauso gibt und imho ist auch die Sprache definitiv nicht per se verkehrt oder generell kaputt (zumindest auch nicht kaputter als Java oder C++ - jede Sprache hat so ihre haesslichen Konstrukte und Eigenarten), aber der Anteil der Nullnummern liegt durch die niedrige Huerde schon einen ganzen Zacken hoeher.

  10. Re: Verrückt.

    Autor: Schattenwerk 25.09.14 - 07:45

    Okay, PHP kann also etwas für folgende Dinge:
    - Leute nutzen keine Versionierung,
    - Leute nutzen kein 1C-Deployment,
    - Leute nutzen kein CI,
    - Firmen haben keine firmeninternen Richtlinien wie Code auszusehen hat
    - Firmen haben kein Ticketsystem

    Außerdem ist PHP dafür verantwortlich, dass es auf der Welt Kriege gibt, Hunger herzt und sämtliche sonstige Qualen.

    Ich weiß nicht was bei dir im Kopf los ist aber all deine Punkte haben absolut rein gar nichts mit der Sprache PHP zutun sondern mit den Entwicklern oder der Firmenleitung.

    Wenn der Chef ein selbst geschraubtes Ticket-System haben will, dann kriegt er es. Weil chef. Und da ist die Sprache egal.

    Keine Ahnung wieso das nun alles Schuld von PHP sein soll. Und auch, dass eine IDE dir gewisse Features bietet heißt noch lange nicht, dass die Leute diese Features auch nutzen.

    Natürlich kann aber auch die Sprache etwas für den Funktionsumfang ihrer Editoren, natürlich kann sie das.

    BP ist auch maßgeblich für die Feature-Verwendung der Fahrer in deren Fahrzeugen verantwortlich. Wer kennt es nicht: "Wieso nutzt du deine Klimaanlage eigentlich nicht?" - "Ist doch logisch, ich tanke nur Super, kein Super Plus".

    So viel Mist schon vor dem ersten Kaffee... Gott...

  11. Re: Verrückt.

    Autor: sektion31 25.09.14 - 08:35

    > Ich hab das Feature immer gern benutzt, um eine schöne Alternative zu "ps aux | grep" zu haben^^.

    > psg() { ps auxw | grep -v grep | grep -E (^USER.*COMMAND$|$@)"; }

    Bin mir grad über die normale Klammer nicht im klaren, aber
    müsste das nicht auch über ein alias (http://wiki.ubuntuusers.de/alias) gehen?



    1 mal bearbeitet, zuletzt am 25.09.14 08:39 durch sektion31.

  12. Re: Verrückt.

    Autor: Gamma Ray Burst 25.09.14 - 10:38

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > Okay, PHP kann also etwas für folgende Dinge:
    > - Leute nutzen keine Versionierung,
    > - Leute nutzen kein 1C-Deployment,
    > - Leute nutzen kein CI,
    > - Firmen haben keine firmeninternen Richtlinien wie Code auszusehen hat
    > - Firmen haben kein Ticketsystem
    >
    > Außerdem ist PHP dafür verantwortlich, dass es auf der Welt Kriege gibt,
    > Hunger herzt und sämtliche sonstige Qualen.
    >
    > Ich weiß nicht was bei dir im Kopf los ist aber all deine Punkte haben
    > absolut rein gar nichts mit der Sprache PHP zutun sondern mit den
    > Entwicklern oder der Firmenleitung.
    >
    > Wenn der Chef ein selbst geschraubtes Ticket-System haben will, dann kriegt
    > er es. Weil chef. Und da ist die Sprache egal.
    >
    > Keine Ahnung wieso das nun alles Schuld von PHP sein soll. Und auch, dass
    > eine IDE dir gewisse Features bietet heißt noch lange nicht, dass die Leute
    > diese Features auch nutzen.
    >
    > Natürlich kann aber auch die Sprache etwas für den Funktionsumfang ihrer
    > Editoren, natürlich kann sie das.
    >
    > BP ist auch maßgeblich für die Feature-Verwendung der Fahrer in deren
    > Fahrzeugen verantwortlich. Wer kennt es nicht: "Wieso nutzt du deine
    > Klimaanlage eigentlich nicht?" - "Ist doch logisch, ich tanke nur Super,
    > kein Super Plus".
    >
    > So viel Mist schon vor dem ersten Kaffee... Gott...

    Der Zusammenhang zwischen PHP und schlechter Qualität liegt darin, dass jeder der keine Ahnung von Programmieren hat, auf einmal programmieren kann. Ich bin zwar durchaus für eine Demokratisierung der Software Entwicklung, aber es wird zu oft unkritisch darüber hinweggesehen das PHP nicht nur als Sprache ein Problem ist sondern sich auch negativ auf die Entwicklungsprozesse und die Qualität der Entwickler auswirkt.

    PHP ist deswegen so widerlich, weil es einen davon abhält sinnvolle und mächtige Softwarekonstrukte aufzubauen, es zwingt einen permanent auf einem sehr sehr niedrigen Abstraktionslevel zu bleiben.

    Da PHP selber nicht besonders sicher ist, es einem auch nicht leicht macht es selbst sicherer zu machen, die Anforderungen an die Entwickler niedrig sind (sprich keinerlei Informatik Kenntnisse) und die Entwicklungsprozesse genauso anspruchslos ist wie der dar ganze Rest kommt am Ende eben nur Mist raus.

    Es mag sehr arrogant sein, aber das erste was ich einen PHP Entwickler frage ist: "Ob er auch eine richtige Programmiersprache kann", sonst brauchte ich nicht mit ihm reden, er würde eh keinen Satz verstehen.

    Andererseits solange es ein Meer von mit Ignoranz und Unverstand zusammengenagelten PHP Websites gibt und die Hacker einen reich gedeckten Tisch vorfinden, können websites mit Minderheitentechnologien eigentlich nur danke sagen. Macht sich ja dann kaum einer der Mühe sich mit dem ganzen technologischen Besonderheiten einer mit lLiebe zum Detail zusammengebauten Website auseinanderzusetzen.

  13. Re: Verrückt.

    Autor: STFU Gamma Ray Burst 25.09.14 - 11:49

    > PHP ist deswegen so widerlich, weil es einen davon abhält sinnvolle und
    > mächtige Softwarekonstrukte aufzubauen, es zwingt einen permanent auf einem
    > sehr sehr niedrigen Abstraktionslevel zu bleiben.

    Kluger Mann! :)

  14. Re: Verrückt.

    Autor: DNAofDeath 25.09.14 - 14:16

    Bitte die Beiträge von SelfEsteem und Gamma Ray Burst lesen.

  15. Re: Verrückt.

    Autor: Schattenwerk 25.09.14 - 15:25

    Gamma Ray Burst schrieb:
    --------------------------------------------------------------------------------
    > PHP ist deswegen so widerlich, weil es einen davon abhält sinnvolle und
    > mächtige Softwarekonstrukte aufzubauen, es zwingt einen permanent auf einem
    > sehr sehr niedrigen Abstraktionslevel zu bleiben.

    Beispiel? Wo wird den verhindert auf einem niedrigen Abstraktionslevel zu bleiben und was können andere Sprachen da angeblich besser?

    > Da PHP selber nicht besonders sicher ist

    Aus Interesse wüsste ich nun gerne welche Probleme PHP im Detail bzgl. der Sicherheit hat.

  16. Re: Verrückt.

    Autor: Moe479 25.09.14 - 17:07

    ich weis ja nicht ... was z.b. an einer lambda notation jetzt ein geringes abstraktionslevel sein soll, und schleifen und sogar funktionen, klassen und methoden und das ganze andere moderne zeugs was code langsam macht gibt es auch dort ... ;)

    klar zwingt dich niemand oo oder gar nach anderen konzepten zu arbeiten, aber das ist doch gerade der segen, dass es jeder der irgenwann einmal nen basic grundkurs hatte es auch nutzen kann.

    jeder der mich übrigens fragt ob jene oder welche sprache kann, dem winke ich ab und gehe ... mit der sprache setzen sich entwickler nur als werkzeug zum umsetzen eines schon längst gefassten plans auseinander, eines plans der möglichst universell umsetzbar und an keine bestimme sprache gebunden ist, alles andere ist nicht abstrakt sondern eher konkret.

    und was soll das ziel des ganzen schnacks hier sein, dass nur sprachen mit entsprechend hoher einstigshürde ein garant für saubren und guten code sind?



    1 mal bearbeitet, zuletzt am 25.09.14 17:08 durch Moe479.

  17. Re: Verrückt.

    Autor: ra-hoch3 25.09.14 - 17:55

    Wenn man gerade so schön in Rage ist, dann lässt man sich doch nicht von lächerlichen Fakten irritieren.

  18. Re: Verrückt.

    Autor: mambokurt 25.09.14 - 22:39

    Gamma Ray Burst schrieb:
    --------------------------------------------------------------------------------
    > Schattenwerk schrieb
    > ----------------
    > PHP ist deswegen so widerlich, weil es einen davon abhält sinnvolle und
    > mächtige Softwarekonstrukte aufzubauen, es zwingt einen permanent auf einem
    > sehr sehr niedrigen Abstraktionslevel zu bleiben

    Na damit hast du echt den Vogel abgeschossen, die Aussage zeigt entweder dass du dich mit PHP seit Version 4 nicht mehr beschäftigt hast, oder dass du proffessioneller Lisp Entwickler bist. Glückwunsch zu beidem.

    Die selbe Aussage könntest du dann eigentlich auch über C++ treffen, das kann man ja auch wie C für diese spuckige prozedurale Programmierung nutzen...

    Ansonsten: mir Bummi wie die Sprache heißt, wenn die Anforderung es will programmier ich auch in Basic...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Technische Informationsbibliothek (TIB), Hannover
  2. IFS Deutschland GmbH & Co. KG, Erlangen, Neuss oder Home-Office
  3. Technische Universität Darmstadt, Darmstadt
  4. Franz Binder GmbH + Co. Elektrische Bauelemente KG, Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 699,00€ (Bestpreis!)
  2. (u. a. Aorus Pro für 219,90€, Aorus Pro WiFi für 229,90€, Aorus Elite für 189,90€)
  3. (u. a. Sandisk SSD Plus 1 TB für 88,00€, WD Elements 1,5-TB-HDD für 55,00€, Seagate Expansion...
  4. (u. a. Kingston A400 2-TB-SSD für 159,90€, AMD Upgrade-Bundle mit Radeon RX 590 + Ryzen 7...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

  1. Smartspeaker: Belauschen mit Alexa- und Google-Home-Apps
    Smartspeaker
    Belauschen mit Alexa- und Google-Home-Apps

    Mit verschiedenen Tricks gelang es Sicherheitsforschern, Apps für Google Home und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps überstanden den Review-Prozess von Google und Amazon.

  2. Epic Games: Fans frustriert über mehr Grind in Fortnite
    Epic Games
    Fans frustriert über mehr Grind in Fortnite

    Nach dem Start des zweiten Kapitels von Fortnite gibt es Frust in der Community: Es ist nun noch mehr Zeitaufwand oder Geld nötig, um alle Stufen des Battle Pass freizuschalten - und dabei wirbt Epic Games mit "Mehr Spaß, weniger Grinden".

  3. FTTC: Telekom-Vectoring für rund 82.000 Haushalte
    FTTC
    Telekom-Vectoring für rund 82.000 Haushalte

    Die Telekom hat erneut viele Haushalte mit FTTC (Fiber To The Curb) versorgt. Die Ausbaugebiete für das einfache Vectoring sind weit über Deutschland verstreut.


  1. 17:23

  2. 16:54

  3. 16:39

  4. 15:47

  5. 15:00

  6. 13:27

  7. 12:55

  8. 12:40