Clientseitige Passwort prüfung?

Wer hat denn diesen Schrott programmiert? Eigentlich sollte die Bude für sowas ne Klage hinterhergeworfen bekommen.

Es gibt kaum eine einfachere Maxime als "Traue nie dem Client!". Wie man in einer "Sicherheitssoftware"-Butze so fundamentalen Mist bauen kann, entzieht sich meinem Verständnis. Traut man sich kaum, weiterzulesen: "monatelanger Kontakt", "mangelhafte Verschlüsselung", "andere Lücken als nicht so kritiisch angesehen", ...

Ich verstehe das nicht, wie so eine software solch gravierende mängel enthalten kann.

Wenn ich die original quelle richtig verstanden habe schickt der Server sogar eine Liste aller gültigen Usernamen und Passwort-Hashes an den Client ("The AVG Admin Server sends a list of valid usernames/password hashes to AVG Admin Console").

Wer kommt denn auf solch eine Idee?! Der sich das ausgedacht und umgesetzt hat, der ist wirklich fehl am platz in seinem Job...

Tja vielleicht dämmerts jetzt so langsam einigen, dass das wirklich keine Sicherheitsbuden sind, sondern Experten im verkaufen von Schlangenöl. Ich sage seit Jahren das jede Antivirensoftware in vielfältiger hinsicht eine größere gefahr darstellt, als Viren - auf x64-Windows gibt es keinen einzigen Virus der die Systemintegrität gefährden kann, wenn der Admin nicht zustimmt. Dagegen bietet Antivirensoftware keinerlei echten Schutz aber wie hier mal wieder hunderte neue Angriffsvektoren!

__fastcall schrieb:
--------------------------------------------------------------------------------
> Eigentlich sollte die Bude für sowas ne Klage hinterhergeworfen bekommen.

Ne da haste was falsch verstanden, für Bugs haftet niemand.
Weil dann wäre Microsoft, Google und sogar Apple schon lange pleite.

iRofl schrieb:
--------------------------------------------------------------------------------
> __fastcall schrieb:
> ---------------------------------------------------------------------------
> -----
> > Eigentlich sollte die Bude für sowas ne Klage hinterhergeworfen
> bekommen.
>
> Ne da haste was falsch verstanden, für Bugs haftet niemand.
> Weil dann wäre Microsoft, Google und sogar Apple schon lange pleite.

Ist mir Bewusst, keiner haftet dafür. Sollte aber in solchen Fällen so sein. Die Kunden die noch nie eine Zeile Code gesehen haben, verlassen sich darauf das die Software funktioniert. Wenn aber solch markante Lücken programmiert werden, ist das einfach nur fahrlässig. Ich finde man sollte nicht erst haften wenn Menschen dabei Physisch zu Schaden kommen (wie z.b bugs in Autos), sondern auch bei sowas.

Bin selbst Entwickler und frage mich wer diesen Code genehmigt hat, das ist einfach ein riesen GAU, da fällt mir auch nichts mehr zu ein.