1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › OpenSSL: Wichtige Fragen und…

Der Kerl, der den Fehler eingebaut hat...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Der Kerl, der den Fehler eingebaut hat...

    Autor: Cassiel 09.04.14 - 19:00

    Arbeitet übrigens bei T-Systems. Ein Schelm wer Böses denkt ;-)



    1 mal bearbeitet, zuletzt am 09.04.14 19:00 durch Cassiel.

  2. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: peter_pan 09.04.14 - 19:07

    Ja, und während dessen er es geschrieben hat noch in seiner Dissertationszeit.

  3. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: Cassiel 09.04.14 - 19:20

    peter_pan schrieb:
    --------------------------------------------------------------------------------
    > Ja, und während dessen er es geschrieben hat noch in seiner
    > Dissertationszeit.

    Er sollte den Job wechseln :>

  4. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: pythoneer 09.04.14 - 20:32

    Cassiel schrieb:
    --------------------------------------------------------------------------------
    > Er sollte den Job wechseln :>

    Nö, wir sollte eher alle eine Lehre aus diesem abschreckenden Beispiel ziehen und uns überlegen, wie dieser vermeidbare Fehler hätte verhindert werden können. Menschen bleiben Menschen und das jetzt auf eine Person zu schieben die man "abschieben" und bestrafen kann nützt genau gar nichts.

  5. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: der_wahre_hannes 09.04.14 - 20:41

    Aber es ist doch "OpenSource". Jeder kann den Code lesen und so. Ist doch immer das Hauptargument, welches angebracht wird. Also ist hier nicht einer alleine Schuld, sondern quasi alle, die OpenSource mitentwickeln.

  6. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: Kelran 09.04.14 - 21:59

    Exakt. Und weil es OpenSource ist, ist der Fehler überhaupt aufgefallen.

    Und ja, der Fehler nicht alleine beim Autoren. Er liegt auch bei Dr. Stephen Henson, der die Code-Änderung durchgewunken hat und bei allen, welche keine Zeit hatten, sich die Änderungen anzuschauen oder die Tragweite nicht verstanden haben. Aber: Wie "pythoneer" schon geschrieben hat, daraus können wir alle lernen. Bei OpenSource und einer freien Entwicklergemeinde gibt es dazu die Möglichkeit und das finde ich sehr, sehr gut.

  7. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: TrudleR 09.04.14 - 22:52

    der_wahre_hannes schrieb:
    --------------------------------------------------------------------------------
    > Aber es ist doch "OpenSource". Jeder kann den Code lesen und so. Ist doch
    > immer das Hauptargument, welches angebracht wird. Also ist hier nicht einer
    > alleine Schuld, sondern quasi alle, die OpenSource mitentwickeln.

    Nettes Fettnäpfchen, in das du da getrampt bist. :)

  8. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: Anonymer Nutzer 10.04.14 - 07:11

    Oh doch. Bestrafe einen erziehe tausend.

    Geht bei uns doch auch.

  9. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: der_wahre_hannes 10.04.14 - 08:10

    TrudleR schrieb:
    --------------------------------------------------------------------------------
    > Nettes Fettnäpfchen, in das du da getrampt bist. :)

    Aha.
    Der Bug ist seit 2012 im Code und seitdem niemandem aufgefallen. Wenn man von Bugs in Closed Source-Software liest, steht in der Kommentarecke doch unter Garantie ein Kommentar wie "Mit OpenSource wäre das nicht passiert, blabla".
    Nun wissen wir: Doch, sowas passiert auch bei OpenSource.
    Und nein, nicht der einzelne Coder ist hier alleine Schuld (bei ClosedSource ist ja auch immer das ganze Unternehmen Schuld), sondern alle, die diesen Code gelesen, den Bug aber seit 2012 nicht entdeckt haben.

  10. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: der_wahre_hannes 10.04.14 - 08:11

    Kelran schrieb:
    --------------------------------------------------------------------------------
    > Exakt. Und weil es OpenSource ist, ist der Fehler überhaupt aufgefallen.

    Das würde ja bedeuten, dass in ClosedSource überhaupt keine Bugs gewunden würden.

  11. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: peter_pan 10.04.14 - 09:25

    der_wahre_hannes schrieb:
    --------------------------------------------------------------------------------

    > Das würde ja bedeuten, dass in ClosedSource überhaupt keine Bugs gewunden
    > würden.

    Man weiß es nicht. :p

  12. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: Nephtys 10.04.14 - 10:04

    der_wahre_hannes schrieb:
    --------------------------------------------------------------------------------
    > Kelran schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Exakt. Und weil es OpenSource ist, ist der Fehler überhaupt aufgefallen.
    >
    > Das würde ja bedeuten, dass in ClosedSource überhaupt keine Bugs gewunden
    > würden.


    Es gibt dort keine Fremdbugs. Versionen werden - gewöhnlich - anständig getestet, und nur qualitativ hochwertige Commits zugelassen.
    In diesem Fall hat jemand quasi ein Feature aktualisiert / erstellt, welches zu dieser gravierenden Sicherheitslücke geführt hat. Unter Closed Source wäre das wahrscheinlich nicht passiert, aus dem einfachen Grund, dass sich das niemand auf eigene Faust trauen würde.

  13. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: Mingfu 10.04.14 - 10:09

    Dann würde mich mal interessieren, von welchem OpenSource-Projekt Adobe den Code des Flashplayers geklaut hat. Denn soviele Sicherheitslücken wie der enthält, kann der gar nicht geschlossen entwickelt worden sein.

  14. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: M.P. 10.04.14 - 10:44

    Wozu soll man sie erziehen?

    Wer viel programmiert, macht viele Fehler, wer wenig programmiert, macht weniger Fehler?

    Das sind dann die total verängstigten Leute, die Code nie freigeben, denn dann kann ja nichts passieren...

    Man sollte ein Umfeld schaffen, daß es ermöglicht, die Fehler zu finden.
    Aber automatisierte Testtools gibt es nicht umsonst. Und Leute, die damit umgehen können, haben gewisse Gehaltsvorstellungen...

  15. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: Juge 10.04.14 - 11:11

    Und hat er für den "Fehler" *hust* einen Bonus bekommen?

  16. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: Doomhammer 10.04.14 - 12:22

    Nephtys schrieb:
    --------------------------------------------------------------------------------
    > der_wahre_hannes schrieb:
    > ---------------------------------------------------------------------------
    > > Das würde ja bedeuten, dass in ClosedSource überhaupt keine Bugs
    > gewunden
    > > würden.
    >
    > Es gibt dort keine Fremdbugs. Versionen werden - gewöhnlich - anständig
    > getestet, und nur qualitativ hochwertige Commits zugelassen.
    > In diesem Fall hat jemand quasi ein Feature aktualisiert / erstellt,
    > welches zu dieser gravierenden Sicherheitslücke geführt hat. Unter Closed
    > Source wäre das wahrscheinlich nicht passiert, aus dem einfachen Grund,
    > dass sich das niemand auf eigene Faust trauen würde.

    Aus welcher Traumwelt kommst du den? Wieviel Closed Source muß ich dir um die Ohren hauen, damit du merkst, das du Unsinn schreibst?

  17. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: bstea 10.04.14 - 12:34

    Es gibt Richtlinien wie guter C/C++ Code aussehen sollte, die kosten einiges. Sowas wie MISRA würde einigen Schwachstellen schnell den gar ausmachen.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  18. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: TrudleR 10.04.14 - 13:43

    der_wahre_hannes schrieb:
    --------------------------------------------------------------------------------
    > TrudleR schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nettes Fettnäpfchen, in das du da getrampt bist. :)
    >
    > Aha.
    > Der Bug ist seit 2012 im Code und seitdem niemandem aufgefallen. Wenn man
    > von Bugs in Closed Source-Software liest, steht in der Kommentarecke doch
    > unter Garantie ein Kommentar wie "Mit OpenSource wäre das nicht passiert,
    > blabla".
    > Nun wissen wir: Doch, sowas passiert auch bei OpenSource.

    Ja, aber dir ging es doch darum zu sagen:
    "Ich dachte, OpenSource wäre so sicher?"

    Richtig, der Fehler wurde deswegen gefunden. Bei Closed Source hätte das vielleicht sonst wer bemerkt und alle anderen hätten's nicht gewusst, dass es dort eine Lücke gibt.

    Es ging mir nur alleine darum. :)
    Gerade weil es OpenSource ist, hat man den Fehler ja anscheinend bemerkt.

  19. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: cry88 10.04.14 - 15:59

    TrudleR schrieb:
    --------------------------------------------------------------------------------
    > Es ging mir nur alleine darum. :)
    > Gerade weil es OpenSource ist, hat man den Fehler ja anscheinend bemerkt.

    Und du glaubst wirklich, dass vor Release niemanden dieser Fehler aufgefallen ist? Bei Millionen Menschen, die ihr Geld mit Angriffen auf Security-Systemen verdienen? Ob nun legal oder illegal. Jeder der intensiv nach einer Lücke gesucht hat und sich gut im Programmieren auskennt sollte diese Lücke gefunden haben.

  20. Re: Der Kerl, der den Fehler eingebaut hat...

    Autor: TrudleR 10.04.14 - 17:12

    cry88 schrieb:
    --------------------------------------------------------------------------------
    > TrudleR schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Es ging mir nur alleine darum. :)
    > > Gerade weil es OpenSource ist, hat man den Fehler ja anscheinend
    > bemerkt.
    >
    > Und du glaubst wirklich, dass vor Release niemanden dieser Fehler
    > aufgefallen ist? Bei Millionen Menschen, die ihr Geld mit Angriffen auf
    > Security-Systemen verdienen? Ob nun legal oder illegal. Jeder der intensiv
    > nach einer Lücke gesucht hat und sich gut im Programmieren auskennt sollte
    > diese Lücke gefunden haben.

    Das wissen wir beide zumindest nicht. :)

    Ich kann auch nicht sagen, wie offensichtlich der Fehler war. Ich glaube jedenfalls nicht, dass es jedem Laien aufgefallen wäre.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Westermann Gruppe, Braunschweig
  2. InnoGames GmbH, Hamburg
  3. FrischerGehts.net GmbH, Dresden
  4. ITEOS, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Star Wars: Der Aufstieg Skywalkers für 28,99€, Die Eiskönigin 2 für 19,99€, Parasite...
  2. (u. a. Transcend 430S 512GB SSD für 68,99€, Transcend 960GB SSD extern für 185,99€, Transcend...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dreams im Test: Bastelwastel im Traumiversum
Dreams im Test
Bastelwastel im Traumiversum

Bereits mit Little Big Planet hat das Entwicklerstudio Media Molecule eine Kombination aus Spiel und Editor produziert, nun geht es mit Dreams noch ein paar Schritte weiter. Mit dem PS4-Titel muss man sich fast schon anstrengen, um nicht schöne Eigenkreationen zu erträumen.
Ein Test von Peter Steinlechner

  1. Ausdiskutiert Sony schließt das Playstation-Forum
  2. Sony Absatz der Playstation 4 geht weiter zurück
  3. PS4-Rücktasten-Ansatzstück im Test Tuning für den Dualshock 4

Alphakanal: Gimp verrät Geheimnisse in Bildern
Alphakanal
Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.


    Wolcen im Test: Düster, lootig, wuchtig!
    Wolcen im Test
    Düster, lootig, wuchtig!

    Irgendwo zwischen Diablo und Grim Dawn: Die dreckige Spielwelt von Wolcen - Lords Of Mayhem ist Schauplatz für ein tolles Hack'n Slay - egal ob offline oder online, alleine oder gemeinsam. Und mit Cryengine.
    Ein Test von Marc Sauter

    1. Project Mara Microsoft kündigt Psychoterror-Simulation an
    2. Active Gaming Footwear Puma blamiert sich mit Spielersocken
    3. Simulatoren Nach Feierabend Arbeiten spielen

    1. Startup: Rückenschmerzen-App Kaia verzwölffacht ihren Preis
      Startup
      Rückenschmerzen-App Kaia verzwölffacht ihren Preis

      Eine E-Health-App hat am Montag drastisch höhere Preise eingeführt, obwohl sie mit 96 Euro jährlich schon viel kostete: Ab jetzt zahlen Neukunden 99 Euro - aber nicht im Jahr, sondern pro Monat. Dafür kann Kaia bei chronischen Rückenschmerzen wirklich helfen, glauben nicht nur viele Krankenkassen.

    2. Bundesnetzagentur: Telefónica erhält Millionenstrafe wegen schlechtem Netz
      Bundesnetzagentur
      Telefónica erhält Millionenstrafe wegen schlechtem Netz

      Die Bundesnetzagentur wird Telefónica Deutschland wohl zu einer Strafe im zweistelligen Millionenbereich verurteilen. Der Netzbetreiber nennt dies "kontraproduktiv für die Netzversorgung in Deutschland".

    3. Konsolen: Microsoft bestätigt 12 Teraflops für Xbox Series X
      Konsolen
      Microsoft bestätigt 12 Teraflops für Xbox Series X

      Nun ist es offiziell: Die GPU der Xbox Series X schafft eine Leistung von 12 Teraflops - ungefähr das Doppelte der Xbox One X. Damit treffen einige Leaks zu, außerdem stellte der zuständige Manager Phil Spencer eine Reihe weiterer Neuheiten vor.


    1. 18:37

    2. 17:31

    3. 16:54

    4. 16:32

    5. 16:17

    6. 15:47

    7. 15:00

    8. 15:00