1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Ubuntu-Sicherheitslücke: Snap…

Erschreckend ist der Programmierstil

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Erschreckend ist der Programmierstil

    Autor: Mingfu 16.02.19 - 10:18

    Wenn man sich die ausführliche Beschreibung der Sicherheitslücke anschaut, dann kann man eigentlich nicht glauben, dass jemand überhaupt noch so programmiert: Die Sicherheitslücke entsteht dadurch, dass jemand einen String mit verschiedenen Credentials (unter anderem eben der User-ID des Anfragers, aber eben auch dem Namen des anfragenden Sockets, der beliebig durch den Anfrager zu setzen ist) im Sinne einer HTTP-Query zusammenzimmert und anschließend wieder parst, wobei bei wiederholenden Werten der letzte Wert zählt, was dann das Überschreiben der User-ID ermöglicht.

    Selbst wenn es aus irgendwelchen Gründen nötig sein sollte, dass man Variablenwerte in einer serialisierten Form weitergeben muss, dann müsste es doch eigentlich im Kopf schon schreien: Nimm JSON und definiere dir dort ein entsprechendes Objekt mit den Bezeichnern! Da kommt man doch gar nicht auf die Idee, dass man die Serialisierung und das Parsen selbst implementiert...



    1 mal bearbeitet, zuletzt am 16.02.19 10:20 durch Mingfu.

  2. Re: Erschreckend ist der Programmierstil

    Autor: Anonymer Nutzer 16.02.19 - 13:49

    und macht sich dann so abhängig von der sicherheit fremden codes.

  3. Re: Erschreckend ist der Programmierstil

    Autor: Mingfu 16.02.19 - 14:32

    Das ist ein weitgehendes Nicht-Argument, weil man in der Regel nicht auf der grünen Wiese programmiert, sondern meist ohnehin Abhängigkeiten hat. Da ist dieser vermeintliche Sicherheitsanspruch von vornherein zum Scheitern verurteilt.

    Außerdem zeigt diese Herangehensweise vor allem eines: Hybris. Da muss man schon sehr die eigenen Fähigkeiten überschätzen, wenn man der Meinung ist, dass man für solche Nebenaufagen eine höhere Codesicherheit garantieren könnte als andere Leute, die sich damit mehr beschäftigt und eine Bibliothek für speziell diese Aufgabe geschrieben haben.

    Gerade im Sicherheitsbereich gibt es deshalb eine ganz einfache Grundregel: Hände weg von eigenen Implementierungen, denn man wird es schlechter machen, als das, was in gängigen Bibliotheken geboten wird.

  4. Re: Erschreckend ist der Programmierstil

    Autor: quark2017 16.02.19 - 22:44

    @mingfu

    Danke für deine Zusammenfassung!
    DAS ist wirklich erschreckend. Aber ich habe es eh nie verstanden, weshalb Techniken genutzt werden ohne die Technik verstanden zu haben.

    Im Web-Entwicklungsbereich sieht man leider viel viel gruseliges Zeugs.
    Und das gruselige Zeugs verbreitet sich dann auch noch ganz schnell, weil es sich ja super-easy forken oder einbinden lässt.

    Der einzige Lichtblick (für mich) ist, dass ich durch die (immer gleichen) Fehleinschätzungen von Entwicklern mir über Arbeitslosigkeit keine Gedanken machen muss!

  5. Re: Erschreckend ist der Programmierstil

    Autor: Anonymer Nutzer 17.02.19 - 17:59

    Die Überschätzung findet sich jedoch auch bei denen die Bibliotheken bereitstellen, da wird oft auch mehr versprochen als letztendlich real eingehalten wird ...

    Es bleibt eine Vertrauensfrage, ob in die eigenen Fähigkeiten oder die anderer ... und bloß weil etwas potenziell weniger Fehler haben könnte - wie man das auch immer annimmt, heißt das noch lange nicht, dass es auch fehlerfrei ist.

  6. Re: Erschreckend ist der Programmierstil

    Autor: elcaron 18.02.19 - 10:09

    Dann review mit der gesparten Zeit halt den fremden Code. Nichttriviale Features (und dazu gehört Escaping, Parsing usw, wie man sieht) immer und immer wieder neu zu implementieren war jedenfalls noch nie eine gute Idee, in the History of Ever.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Digitalisierungsexperte (Smart Factory) und Lean Manager (m/w/d)
    Knauf Gips KG, Iphofen bei Würzburg
  2. Juristischer Berater (m/w/d) IT
    VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
  3. SAP Inhouse Consultant (m/w/d) mit Schwerpunkt Logistik Module
    Covivio Immobilien GmbH, Oberhausen
  4. Operations Manager (m/f/x)
    UnternehmerTUM GmbH, Garching bei München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Microsoft Surface Pro 7+ 12,3 Zoll Convertible + Microsoft 365 Family für 888€)
  2. (u. a. Samsung GQ65QN85A 65 Zoll Neo QLED für 1.299€ inkl. Direktabzug, Asus TUF Gaming A15 15,6...
  3. (u. a. Xiaomi 11 Lite 5G 128GB für 299€, Asus Zenbook 13,3 Zoll OLED i5 16GB 16GB 512GB SSD für...
  4. 39,99€ (statt 59,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de