-
Der Kerl, der den Fehler eingebaut hat...
Autor: Cassiel 09.04.14 - 19:00
Arbeitet übrigens bei T-Systems. Ein Schelm wer Böses denkt ;-)
1 mal bearbeitet, zuletzt am 09.04.14 19:00 durch Cassiel. -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: peter_pan 09.04.14 - 19:07
Ja, und während dessen er es geschrieben hat noch in seiner Dissertationszeit.
-
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: Cassiel 09.04.14 - 19:20
peter_pan schrieb:
--------------------------------------------------------------------------------
> Ja, und während dessen er es geschrieben hat noch in seiner
> Dissertationszeit.
Er sollte den Job wechseln :> -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: pythoneer 09.04.14 - 20:32
Cassiel schrieb:
--------------------------------------------------------------------------------
> Er sollte den Job wechseln :>
Nö, wir sollte eher alle eine Lehre aus diesem abschreckenden Beispiel ziehen und uns überlegen, wie dieser vermeidbare Fehler hätte verhindert werden können. Menschen bleiben Menschen und das jetzt auf eine Person zu schieben die man "abschieben" und bestrafen kann nützt genau gar nichts. -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: der_wahre_hannes 09.04.14 - 20:41
Aber es ist doch "OpenSource". Jeder kann den Code lesen und so. Ist doch immer das Hauptargument, welches angebracht wird. Also ist hier nicht einer alleine Schuld, sondern quasi alle, die OpenSource mitentwickeln.
-
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: Kelran 09.04.14 - 21:59
Exakt. Und weil es OpenSource ist, ist der Fehler überhaupt aufgefallen.
Und ja, der Fehler nicht alleine beim Autoren. Er liegt auch bei Dr. Stephen Henson, der die Code-Änderung durchgewunken hat und bei allen, welche keine Zeit hatten, sich die Änderungen anzuschauen oder die Tragweite nicht verstanden haben. Aber: Wie "pythoneer" schon geschrieben hat, daraus können wir alle lernen. Bei OpenSource und einer freien Entwicklergemeinde gibt es dazu die Möglichkeit und das finde ich sehr, sehr gut. -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: TrudleR 09.04.14 - 22:52
der_wahre_hannes schrieb:
--------------------------------------------------------------------------------
> Aber es ist doch "OpenSource". Jeder kann den Code lesen und so. Ist doch
> immer das Hauptargument, welches angebracht wird. Also ist hier nicht einer
> alleine Schuld, sondern quasi alle, die OpenSource mitentwickeln.
Nettes Fettnäpfchen, in das du da getrampt bist. :) -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: Anonymer Nutzer 10.04.14 - 07:11
Oh doch. Bestrafe einen erziehe tausend.
Geht bei uns doch auch. -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: der_wahre_hannes 10.04.14 - 08:10
TrudleR schrieb:
--------------------------------------------------------------------------------
> Nettes Fettnäpfchen, in das du da getrampt bist. :)
Aha.
Der Bug ist seit 2012 im Code und seitdem niemandem aufgefallen. Wenn man von Bugs in Closed Source-Software liest, steht in der Kommentarecke doch unter Garantie ein Kommentar wie "Mit OpenSource wäre das nicht passiert, blabla".
Nun wissen wir: Doch, sowas passiert auch bei OpenSource.
Und nein, nicht der einzelne Coder ist hier alleine Schuld (bei ClosedSource ist ja auch immer das ganze Unternehmen Schuld), sondern alle, die diesen Code gelesen, den Bug aber seit 2012 nicht entdeckt haben. -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: der_wahre_hannes 10.04.14 - 08:11
Kelran schrieb:
--------------------------------------------------------------------------------
> Exakt. Und weil es OpenSource ist, ist der Fehler überhaupt aufgefallen.
Das würde ja bedeuten, dass in ClosedSource überhaupt keine Bugs gewunden würden. -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: peter_pan 10.04.14 - 09:25
der_wahre_hannes schrieb:
--------------------------------------------------------------------------------
> Das würde ja bedeuten, dass in ClosedSource überhaupt keine Bugs gewunden
> würden.
Man weiß es nicht. :p -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: Nephtys 10.04.14 - 10:04
der_wahre_hannes schrieb:
--------------------------------------------------------------------------------
> Kelran schrieb:
> ---------------------------------------------------------------------------
> -----
> > Exakt. Und weil es OpenSource ist, ist der Fehler überhaupt aufgefallen.
>
> Das würde ja bedeuten, dass in ClosedSource überhaupt keine Bugs gewunden
> würden.
Es gibt dort keine Fremdbugs. Versionen werden - gewöhnlich - anständig getestet, und nur qualitativ hochwertige Commits zugelassen.
In diesem Fall hat jemand quasi ein Feature aktualisiert / erstellt, welches zu dieser gravierenden Sicherheitslücke geführt hat. Unter Closed Source wäre das wahrscheinlich nicht passiert, aus dem einfachen Grund, dass sich das niemand auf eigene Faust trauen würde. -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: Mingfu 10.04.14 - 10:09
Dann würde mich mal interessieren, von welchem OpenSource-Projekt Adobe den Code des Flashplayers geklaut hat. Denn soviele Sicherheitslücken wie der enthält, kann der gar nicht geschlossen entwickelt worden sein.
-
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: M.P. 10.04.14 - 10:44
Wozu soll man sie erziehen?
Wer viel programmiert, macht viele Fehler, wer wenig programmiert, macht weniger Fehler?
Das sind dann die total verängstigten Leute, die Code nie freigeben, denn dann kann ja nichts passieren...
Man sollte ein Umfeld schaffen, daß es ermöglicht, die Fehler zu finden.
Aber automatisierte Testtools gibt es nicht umsonst. Und Leute, die damit umgehen können, haben gewisse Gehaltsvorstellungen... -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: Juge 10.04.14 - 11:11
Und hat er für den "Fehler" *hust* einen Bonus bekommen?
-
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: Doomhammer 10.04.14 - 12:22
Nephtys schrieb:
--------------------------------------------------------------------------------
> der_wahre_hannes schrieb:
> ---------------------------------------------------------------------------
> > Das würde ja bedeuten, dass in ClosedSource überhaupt keine Bugs
> gewunden
> > würden.
>
> Es gibt dort keine Fremdbugs. Versionen werden - gewöhnlich - anständig
> getestet, und nur qualitativ hochwertige Commits zugelassen.
> In diesem Fall hat jemand quasi ein Feature aktualisiert / erstellt,
> welches zu dieser gravierenden Sicherheitslücke geführt hat. Unter Closed
> Source wäre das wahrscheinlich nicht passiert, aus dem einfachen Grund,
> dass sich das niemand auf eigene Faust trauen würde.
Aus welcher Traumwelt kommst du den? Wieviel Closed Source muß ich dir um die Ohren hauen, damit du merkst, das du Unsinn schreibst? -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: bstea 10.04.14 - 12:34
Es gibt Richtlinien wie guter C/C++ Code aussehen sollte, die kosten einiges. Sowas wie MISRA würde einigen Schwachstellen schnell den gar ausmachen.
--
Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann! -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: TrudleR 10.04.14 - 13:43
der_wahre_hannes schrieb:
--------------------------------------------------------------------------------
> TrudleR schrieb:
> ---------------------------------------------------------------------------
> -----
> > Nettes Fettnäpfchen, in das du da getrampt bist. :)
>
> Aha.
> Der Bug ist seit 2012 im Code und seitdem niemandem aufgefallen. Wenn man
> von Bugs in Closed Source-Software liest, steht in der Kommentarecke doch
> unter Garantie ein Kommentar wie "Mit OpenSource wäre das nicht passiert,
> blabla".
> Nun wissen wir: Doch, sowas passiert auch bei OpenSource.
Ja, aber dir ging es doch darum zu sagen:
"Ich dachte, OpenSource wäre so sicher?"
Richtig, der Fehler wurde deswegen gefunden. Bei Closed Source hätte das vielleicht sonst wer bemerkt und alle anderen hätten's nicht gewusst, dass es dort eine Lücke gibt.
Es ging mir nur alleine darum. :)
Gerade weil es OpenSource ist, hat man den Fehler ja anscheinend bemerkt. -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: cry88 10.04.14 - 15:59
TrudleR schrieb:
--------------------------------------------------------------------------------
> Es ging mir nur alleine darum. :)
> Gerade weil es OpenSource ist, hat man den Fehler ja anscheinend bemerkt.
Und du glaubst wirklich, dass vor Release niemanden dieser Fehler aufgefallen ist? Bei Millionen Menschen, die ihr Geld mit Angriffen auf Security-Systemen verdienen? Ob nun legal oder illegal. Jeder der intensiv nach einer Lücke gesucht hat und sich gut im Programmieren auskennt sollte diese Lücke gefunden haben. -
Re: Der Kerl, der den Fehler eingebaut hat...
Autor: TrudleR 10.04.14 - 17:12
cry88 schrieb:
--------------------------------------------------------------------------------
> TrudleR schrieb:
> ---------------------------------------------------------------------------
> -----
> > Es ging mir nur alleine darum. :)
> > Gerade weil es OpenSource ist, hat man den Fehler ja anscheinend
> bemerkt.
>
> Und du glaubst wirklich, dass vor Release niemanden dieser Fehler
> aufgefallen ist? Bei Millionen Menschen, die ihr Geld mit Angriffen auf
> Security-Systemen verdienen? Ob nun legal oder illegal. Jeder der intensiv
> nach einer Lücke gesucht hat und sich gut im Programmieren auskennt sollte
> diese Lücke gefunden haben.
Das wissen wir beide zumindest nicht. :)
Ich kann auch nicht sagen, wie offensichtlich der Fehler war. Ich glaube jedenfalls nicht, dass es jedem Laien aufgefallen wäre.



