1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Nach Zoll-Hack: Auch Behörden sollen…

WTF? Programmierfehler?

  1. Thema

Neues Thema Ansicht wechseln


  1. WTF? Programmierfehler?

    Autor: elgooG 12.07.11 - 21:03

    >Jens Heider vom Fraunhofer-Institut für Sichere Informationstechnologie vermutete, dass durch einen Programmierfehler beim Zollkriminalamt, Passwörter in der Datenbank gespeichert wurden. Die Panne hätte durch Sicherheitstests leicht entdeckt werden können.

    Also ein Fehler hat ein SQL-Statement erzeugt, dass die Passwörter in die Datenbank gespeichert hat? Offenbar muss es dann auch noch vorher einen Programmierfehler gegeben haben, der die Tabellen um diese Spalten erweitert hat. Ja Ja...Der Mann weiß wovon er redet. Ganz klar. xD

  2. Re: WTF? Programmierfehler?

    Autor: bstea 12.07.11 - 22:11

    Was für einen Grund gibt es Passwörter(im Klartext) überhaupt zu speichern bzw. überhaupt damit zu arbeiten, wozu gibt's denn Hashes?

  3. Re: WTF? Programmierfehler?

    Autor: SteveMueller 13.07.11 - 10:15

    Ist leider teilweise übliche Praxis.
    Ein Projekt wird testweise installiert, noch ge-debugged und auf
    einmal muss es produktiv gehen, weil der Kunde es ja eigentlich auch
    schon gestern gebraucht hätte. Dann denkt man schon gar nicht
    mehr an die PWs, die noch im Klartext in der SQL Tabelle stehen.

    Persönlich finde ich es natürlich absolut unverantwortlich, gespeicherte
    Passwörter irgendwo im Klartext stehen zu haben. Zumal es genügend
    Plugins und Erweiterungen für Datenbanken u. ä. gibt, die das
    Hashen für einen übernehmen. Thema Faulheit / Ignoranz á la
    "Uns wird das schon nicht passieren ..." =)

  4. Re: WTF? Programmierfehler?

    Autor: elgooG 13.07.11 - 12:01

    SteveMueller schrieb:
    --------------------------------------------------------------------------------
    > Ist leider teilweise übliche Praxis.
    > Ein Projekt wird testweise installiert, noch ge-debugged und auf
    > einmal muss es produktiv gehen, weil der Kunde es ja eigentlich auch
    > schon gestern gebraucht hätte. Dann denkt man schon gar nicht
    > mehr an die PWs, die noch im Klartext in der SQL Tabelle stehen.

    Wenn es noch nicht fertig ist, dann hängt das ganz sicher nicht an den Passwörtern sondern ist generell noch nicht nutzbar. Außerdem müssen Sicherheitskonzepte bereits im Design verankert werden. Das betrifft ja nicht nur die Verschlüsselung der Kennwörter sondern auch Schutz vor SQL-Injectsions, unsichere Schnittstellen,....

    Aber lass dir einfach nochmal das Zitat auf der Zunge zergehen:
    >Jens Heider vom Fraunhofer-Institut für Sichere Informationstechnologie vermutete, dass durch einen Programmierfehler beim Zollkriminalamt, Passwörter in der Datenbank gespeichert wurden. Die Panne hätte durch Sicherheitstests leicht entdeckt werden können.
    Programmierfehler die verursachen, dass Passwörter gespeichert werden? Entweder er ist zu blöd um Diagnosen wiederzugeben, oder er will alle verarschen.

  5. Re: WTF? Programmierfehler?

    Autor: SteveMueller 13.07.11 - 12:37

    elgooG schrieb:
    --------------------------------------------------------------------------------

    > Wenn es noch nicht fertig ist, dann hängt das ganz sicher nicht an den
    > Passwörtern sondern ist generell noch nicht nutzbar. Außerdem müssen
    > Sicherheitskonzepte bereits im Design verankert werden. Das betrifft ja
    > nicht nur die Verschlüsselung der Kennwörter sondern auch Schutz vor
    > SQL-Injectsions, unsichere Schnittstellen,....

    Da gehe ich auch mit dir mit. Ich denke jetzt mal an ein paar Linux-Projekte
    an denen ich mitgearbeitet habe. Die Pakete waren schnell installiert,
    dann nur noch ein paar PlugIns installieren, bissl testen, etc. Das man
    aber die Authentifizierung auf dem Auslieferungsstandard gelassen hat
    fällt dann teils nicht mehr auf. Leider kommt die meiste Software aus
    diesen Bereichen eben standardmäßig ohne Verschlüsselung/Hashes,
    auch wenn diese Features angeboten werden.

    Es besteht oft aber auch noch ein strukturelles Problem. Das Design
    sollte idealer weise von einem Architekten vorgegeben werden. In vielen Software-Schmieden sitzen aber "nur" Entwickler, was bedingt durch eine Vielzahl von
    (internen) Projekten demnach niemals zu einem einheitlichen Standard führen wird.

    > Aber lass dir einfach nochmal das Zitat auf der Zunge zergehen:
    > >Jens Heider vom Fraunhofer-Institut für Sichere Informationstechnologie
    > vermutete, dass durch einen Programmierfehler beim Zollkriminalamt,
    > Passwörter in der Datenbank gespeichert wurden. Die Panne hätte durch
    > Sicherheitstests leicht entdeckt werden können.
    > Programmierfehler die verursachen, dass Passwörter gespeichert werden?
    > Entweder er ist zu blöd um Diagnosen wiederzugeben, oder er will alle
    > verarschen.

    ACK. Wüsste jetzt ehrlich gesagt auch nicht, auf welche der zwei Versionen
    ich tippen würde. Jeder der aus der IT kommt, sollte wissen, dass so eine
    Aussage Schwachsinn ist. Ich erinnere mich hier an die Aussage von Apple,
    dass die Bewegungsdaten von iPhones ja auch nur durch einen "Programmfehler"
    gespeichert und auf den PC übertragen wurden. Vorher hatten Sie aber ein
    Patent beantragt, was die Bewegungsdaten speichern sollte. Weiß nicht,
    obs genau dieses hier war, ging aber in die Richtung:
    http://www.appleinsider.com/articles/09/07/20/apple_looking_to_improve_gps_route_planning_estimates.html

  6. Re: WTF? Programmierfehler?

    Autor: elgooG 13.07.11 - 13:32

    SteveMueller schrieb:
    --------------------------------------------------------------------------------
    > Da gehe ich auch mit dir mit. Ich denke jetzt mal an ein paar
    > Linux-Projekte
    > an denen ich mitgearbeitet habe. Die Pakete waren schnell installiert,
    > dann nur noch ein paar PlugIns installieren, bissl testen, etc. Das man
    > aber die Authentifizierung auf dem Auslieferungsstandard gelassen hat
    > fällt dann teils nicht mehr auf. Leider kommt die meiste Software aus
    > diesen Bereichen eben standardmäßig ohne Verschlüsselung/Hashes,
    > auch wenn diese Features angeboten werden.

    Das solche Funktionen standardmäßig ausgeschaltet sind ist auch gut so. Das System soll ja erst eingerichtet und dann gesichert werden. Ansonsten handelt man sich unnötige Fehlerquellen ein, falls mal etwas nicht funktioniert. Natürlich müssen die Sicherheitsbestimmungen vorher definiert sein.

    Es gibt eine einfache Regel: Wer Serversoftware nicht sicher einrichten kann, sollte sie auch nicht einrichten. Ein "apt-get install xxxx" reicht nicht aus, man muss auch Hintergrundwissen mitbringen, ansonsten ist man nicht qualifiziert.

    > Es besteht oft aber auch noch ein strukturelles Problem. Das Design
    > sollte idealer weise von einem Architekten vorgegeben werden. In vielen
    > Software-Schmieden sitzen aber "nur" Entwickler, was bedingt durch eine
    > Vielzahl von
    > (internen) Projekten demnach niemals zu einem einheitlichen Standard führen
    > wird.

    Du meinst wohl da sitzen nur "Programmierer" die nur Code runtertippen können. Echte Entwickler können auch Softwarearchitektur spezifizieren. Mir ist bisher nicht untergekommen, dass es reine Architekten gibt, die nichts anderes machen.

    Idealerweise spezifizieren die Entwickler (oder die jeweiligen Teamführer) zusammen die Architektur und arbeiten diese aus. Das sorgt gleichzeitig dafür, dass jeder Entwickler bei der Implementierung die Architektur begreift und Probleme im Voraus erkennt und nicht erst nach der Implementierung.

    Bei internen Projekten ist eben entscheident, ob diese auch extern erreichbar sein sollen. Ansonsten sind interne Projekte nicht besonders gefährdet, es sei den sie sind Unternehmenskritisch bzw. müssen vor Spionage geschützt werden.

    Aber egal wie unwichtig, klein und intern ein Projekt ist. Passwörter werden NICHT im Klartext in einer Datenbank abgelegt. Der Aufwand ist heutzutage sehr gering und es muss einen Mindeststandard geben der einfach nicht unterboten werden darf. Das Selbe gilt für SQL-Injections. Wer richtig implementiert und grundsätzlich keine SQL-Konkationationen gegen die Datenbank feuert hat dieses Problem einfach nicht.

  7. Re: WTF? Programmierfehler?

    Autor: SteveMueller 13.07.11 - 15:16

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Das solche Funktionen standardmäßig ausgeschaltet sind ist auch gut so. Das
    > System soll ja erst eingerichtet und dann gesichert werden. Ansonsten
    > handelt man sich unnötige Fehlerquellen ein, falls mal etwas nicht
    > funktioniert. Natürlich müssen die Sicherheitsbestimmungen vorher definiert
    > sein.

    Du, das hat alles sein Für und Wider. Klar ist es vom Installationsablauf
    sinnvoller, erstmal das System zum laufen zu bekommen und dann entsprechend
    zu konfigurieren. Auf der Anderen Seite kann man sich aber auch gleich der
    Authentifizierung widmen. So läuft man eben nicht Gefahr das es später unter
    geht. Der Aufwand entsteht so oder so.

    > Es gibt eine einfache Regel: Wer Serversoftware nicht sicher einrichten
    > kann, sollte sie auch nicht einrichten.

    Yup, seh ich genauso. In mittelständischen Betrieben gibt es aber auch oft
    niemanden, der einem auf die Finger schaut. Oft scheiterts schon am
    Fachlichen.

    > Ein "apt-get install xxxx" reicht
    > nicht aus, man muss auch Hintergrundwissen mitbringen, ansonsten ist man
    > nicht qualifiziert.

    Aus meiner damaligen IT-Abschlussklasse waren viele auch nicht qualifiziert.
    Möchte gar nicht wissen, wie die nen Server einrichten =)
    Bei mir wäre es entsprechend "#yum install" gewesen ^^


    > Du meinst wohl da sitzen nur "Programmierer" die nur Code runtertippen
    > können. Echte Entwickler können auch Softwarearchitektur spezifizieren. Mir
    > ist bisher nicht untergekommen, dass es reine Architekten gibt, die nichts
    > anderes machen.

    Doch, gibts schon, auch wenn Sie in Deutschland wohl nicht so genannt
    werden dürfen:
    http://de.wikipedia.org/wiki/Softwarearchitekt

    > Idealerweise spezifizieren die Entwickler (oder die jeweiligen Teamführer)
    > zusammen die Architektur und arbeiten diese aus. Das sorgt gleichzeitig
    > dafür, dass jeder Entwickler bei der Implementierung die Architektur
    > begreift und Probleme im Voraus erkennt und nicht erst nach der
    > Implementierung.

    Ja. Idealerweise eben.

    > Aber egal wie unwichtig, klein und intern ein Projekt ist. Passwörter
    > werden NICHT im Klartext in einer Datenbank abgelegt. Der Aufwand ist
    > heutzutage sehr gering und es muss einen Mindeststandard geben der einfach
    > nicht unterboten werden darf. Das Selbe gilt für SQL-Injections. Wer
    > richtig implementiert und grundsätzlich keine SQL-Konkationationen gegen
    > die Datenbank feuert hat dieses Problem einfach nicht.

    Wer PWs im Klartext speichert oder sein System nicht gegen SQL-Injections
    abgesichert sollte eine mit dem ausgedruckten Quellcode um die Ohren
    gehauen bekommen ... wortwörtlich ... Aber eben auch nur meine Meinung.
    Bin eh nicht mehr im operativen Bereich, lese aber immer wieder mit
    Tränen in den Augen wie Firmen wie HBGary durch SQL-Injection
    "gehackt" wurden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. BASF Digital Solutions GmbH, Ludwigshafen
  2. ElringKlinger AG, Dettingen an der Ems
  3. DMK E-BUSINESS GmbH, Chemnitz, Berlin-Potsdam, Köln
  4. Rodenstock GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. gratis
  2. 24,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


iPhone 12 Pro Max im Test: Das Display macht den Hauptunterschied
iPhone 12 Pro Max im Test
Das Display macht den Hauptunterschied

Das iPhone 12 Pro Max ist größer als das 12 Pro und hat eine etwas bessere Kamera - grundsätzlich liegen die beiden Topmodelle von Apple aber nah beieinander, wie unser Test zeigt. Käufer des iPhone 12 Pro müssen keine Angst haben, etwas zu verpassen.
Ein Test von Tobias Költzsch

  1. Displayprobleme Grünstich beim iPhone 12 aufgetaucht
  2. Entsperren erschwert iPhone 12 Mini macht Probleme mit dem Touchscreen
  3. Kabelloses Laden Magsafe entfaltet beim iPhone 12 Mini sein Potenzial nicht

Astronomie: Arecibo wird abgerissen
Astronomie
Arecibo wird abgerissen

Das weltberühmte Radioteleskop ist nicht mehr zu retten. Reparaturarbeiten wären lebensgefährlich.

  1. Astronomie Zweites Kabel von Arecibo-Radioteleskop kaputt
  2. Die Zukunft des Universums Wie alles endet
  3. Astronomie Gibt es Leben auf der Venus?

Chang'e 5: Chinesischer Probensammler ist im Mondorbit angekommen
Chang'e 5
Chinesischer Probensammler ist im Mondorbit angekommen

Nach 44 Jahren soll eine chinesische Raumsonde endlich wieder Gesteinsproben vom Mond zur Erde bringen.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Nasa hat überraschenden Favoriten bei Mondlanderkonzept
  2. SLS Nasa bestellt Triebwerke für den Preis einer ganzen Rakete
  3. Artemis Base Camp Nasa plant Mondhabitat