1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Ubuntu-Sicherheitslücke: Snap…

Erschreckend ist der Programmierstil

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Erschreckend ist der Programmierstil

    Autor: Mingfu 16.02.19 - 10:18

    Wenn man sich die ausführliche Beschreibung der Sicherheitslücke anschaut, dann kann man eigentlich nicht glauben, dass jemand überhaupt noch so programmiert: Die Sicherheitslücke entsteht dadurch, dass jemand einen String mit verschiedenen Credentials (unter anderem eben der User-ID des Anfragers, aber eben auch dem Namen des anfragenden Sockets, der beliebig durch den Anfrager zu setzen ist) im Sinne einer HTTP-Query zusammenzimmert und anschließend wieder parst, wobei bei wiederholenden Werten der letzte Wert zählt, was dann das Überschreiben der User-ID ermöglicht.

    Selbst wenn es aus irgendwelchen Gründen nötig sein sollte, dass man Variablenwerte in einer serialisierten Form weitergeben muss, dann müsste es doch eigentlich im Kopf schon schreien: Nimm JSON und definiere dir dort ein entsprechendes Objekt mit den Bezeichnern! Da kommt man doch gar nicht auf die Idee, dass man die Serialisierung und das Parsen selbst implementiert...



    1 mal bearbeitet, zuletzt am 16.02.19 10:20 durch Mingfu.

  2. Re: Erschreckend ist der Programmierstil

    Autor: Anonymer Nutzer 16.02.19 - 13:49

    und macht sich dann so abhängig von der sicherheit fremden codes.

  3. Re: Erschreckend ist der Programmierstil

    Autor: Mingfu 16.02.19 - 14:32

    Das ist ein weitgehendes Nicht-Argument, weil man in der Regel nicht auf der grünen Wiese programmiert, sondern meist ohnehin Abhängigkeiten hat. Da ist dieser vermeintliche Sicherheitsanspruch von vornherein zum Scheitern verurteilt.

    Außerdem zeigt diese Herangehensweise vor allem eines: Hybris. Da muss man schon sehr die eigenen Fähigkeiten überschätzen, wenn man der Meinung ist, dass man für solche Nebenaufagen eine höhere Codesicherheit garantieren könnte als andere Leute, die sich damit mehr beschäftigt und eine Bibliothek für speziell diese Aufgabe geschrieben haben.

    Gerade im Sicherheitsbereich gibt es deshalb eine ganz einfache Grundregel: Hände weg von eigenen Implementierungen, denn man wird es schlechter machen, als das, was in gängigen Bibliotheken geboten wird.

  4. Re: Erschreckend ist der Programmierstil

    Autor: quark2017 16.02.19 - 22:44

    @mingfu

    Danke für deine Zusammenfassung!
    DAS ist wirklich erschreckend. Aber ich habe es eh nie verstanden, weshalb Techniken genutzt werden ohne die Technik verstanden zu haben.

    Im Web-Entwicklungsbereich sieht man leider viel viel gruseliges Zeugs.
    Und das gruselige Zeugs verbreitet sich dann auch noch ganz schnell, weil es sich ja super-easy forken oder einbinden lässt.

    Der einzige Lichtblick (für mich) ist, dass ich durch die (immer gleichen) Fehleinschätzungen von Entwicklern mir über Arbeitslosigkeit keine Gedanken machen muss!

  5. Re: Erschreckend ist der Programmierstil

    Autor: Anonymer Nutzer 17.02.19 - 17:59

    Die Überschätzung findet sich jedoch auch bei denen die Bibliotheken bereitstellen, da wird oft auch mehr versprochen als letztendlich real eingehalten wird ...

    Es bleibt eine Vertrauensfrage, ob in die eigenen Fähigkeiten oder die anderer ... und bloß weil etwas potenziell weniger Fehler haben könnte - wie man das auch immer annimmt, heißt das noch lange nicht, dass es auch fehlerfrei ist.

  6. Re: Erschreckend ist der Programmierstil

    Autor: elcaron 18.02.19 - 10:09

    Dann review mit der gesparten Zeit halt den fremden Code. Nichttriviale Features (und dazu gehört Escaping, Parsing usw, wie man sieht) immer und immer wieder neu zu implementieren war jedenfalls noch nie eine gute Idee, in the History of Ever.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Softwareentwickler (m/w/d) Full Stack
    Captana GmbH, Ettenheim
  2. Assistenz IT-Leitung (m/w/d)
    NOWEDA eG Apothekergenossenschaft, Essen
  3. Android-Entwickler (m/w/d) - Connected Car
    e.solutions GmbH, Ingolstadt
  4. Projektleiter*in Digitalisierung
    Universitätsstadt MARBURG, Marburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Merck: Von der Apotheke zum zweitbesten IT-Arbeitgeber
Merck
Von der Apotheke zum zweitbesten IT-Arbeitgeber

Das Pharmaunternehmen Merck ist auf Platz 2 der Top-IT-Arbeitgeber Deutschlands gelandet - wir wollten von den Mitarbeitern wissen, wieso.
Von Tobias Költzsch


    Koalitionsvertrag: Was bedeuten die Ampel-Pläne für die Elektromobilität?
    Koalitionsvertrag
    Was bedeuten die Ampel-Pläne für die Elektromobilität?

    Nach dem Willen der Ampelkoalition sollen 15 Millionen Elektroautos bis 2030 auf deutschen Straßen unterwegs sein. Wir haben uns angeschaut, wie das genau umgesetzt werden soll.
    Eine Analyse von Friedhelm Greis

    1. Ranger XP Kinetic Polaris bringt Elektro-Buggy mit 82 kW
    2. Elektroauto Mercedes EQS 350 als Basisversion mit 90-kWh-Akku bestellbar
    3. Elektro-Kombi Mercedes-Benz startet Verkauf von Siebensitzer EQB

    Koalitionsvertrag: Zeitenwende bei der IT-Sicherheit
    Koalitionsvertrag
    Zeitenwende bei der IT-Sicherheit

    In der Ampelkoalition deuten sich große Veränderungen bei der IT-Sicherheit an. Wir haben uns den Koalitionsvertrag genauer angeschaut.
    Eine Analyse von Friedhelm Greis

    1. Security Hacker veröffentlichen Daten nach Angriff auf Stadt Witten
    2. Prosite Anonymous hackt Hildmann-Hoster
    3. Security IT-Angriff legt Stadtverwaltung Witten lahm