einfach nur krank...

Anstatt den Quellcode mal langsam auf ein anderes sicherheitstechnisches Niveau zu heben, wird einfach der Einblick verweigert.

Dieses Verhalten der Industrie wird uns noch allen das Genick brechen. Anstatt das Problem von Sicherheitslücken grundsätzlich anzugehen, werden immer mehr und immer neue Sicherheits-Schichten drumrum gebaut, die auch wieder Sicherheitslücken haben, was wieder eine neue Schicht erfordert, etc. Intel müsste sich um die CPU-Architektur kümmern, Microsoft um das Betriebssystem, und alle miteinander um neue Konzepte für Hardware, Software, Rechnerarchitektur samt Programmiersprachen und Compiler. Auch dann werden zukünftig noch Sicherheitslücken gefunden werden. Aber daraus kann man lernen. Stattdessen: is halt so, weiter so, kömma nix machen, is zu teuer, lohnt sich nich.

> Anstatt den Quellcode mal langsam auf ein anderes sicherheitstechnisches
> Niveau zu heben, wird einfach der Einblick verweigert.

In dem Fall ist das nur allzu verständlich. Vor wenigen Tagen kam doch die Meldung das die Behörden gefundene Sicherheitslücken für sich behalten wollen und nicht! an die Firmen melden wollen. DAS ist krank, das Verhalten der Regierungen weltweit. Somit macht der Einblick für Regierungen tatsächlich das Produkt unsicher.

Am Besten wäre natürliche ein Einblick in den Code für alle, damit Sicherheitslücken tatsächlich zeitnah geschlossen werden müssen.

goto10 schrieb:
--------------------------------------------------------------------------------
> > Anstatt den Quellcode mal langsam auf ein anderes sicherheitstechnisches
> > Niveau zu heben, wird einfach der Einblick verweigert.
>
> In dem Fall ist das nur allzu verständlich. Vor wenigen Tagen kam doch die
> Meldung das die Behörden gefundene Sicherheitslücken für sich behalten
> wollen und nicht! an die Firmen melden wollen. DAS ist krank, das Verhalten
> der Regierungen weltweit. Somit macht der Einblick für Regierungen
> tatsächlich das Produkt unsicher.
>
> Am Besten wäre natürliche ein Einblick in den Code für alle, damit
> Sicherheitslücken tatsächlich zeitnah geschlossen werden müssen.

Heute wird so getan als wären Sicherheitslücken ähnlich Naturkatastrophen: nicht zu vermeiden. Das ist Bullshit.

Ist es nicht merkwürdig, dass der Software-Hersteller - welcher im Besitz des Quellcodes ist! - auf externe Hilfe - die nur die Binärdaten analysieren können - angewiesen ist, um selbstverschuldete Sicherheitslücken zu finden? Es ist ja nicht gerade so, als wäre das finden von Sicherheitslücken eine geheime Wissenschaft. Genau das ist doch das Problem: es sollte für einen Entwickler möglich und zumutbar sein, Software ohne Sicherheitslücken zu schreiben, bzw. diese selbst finden und korrigieren zu können. Das ist heute aber anscheinend nicht der Fall.

Es ist schräg, dass nicht mal große Unternehmen wie Symantec (oder Adobe oder Microsoft, etc.) es schaffen die Fehler der Vergangenheit auszubügeln *UND* zukünftig zu vermeiden. Es ist eine Schande.

Aber wie ich oben schon schrieb: is halt so, weiter so, kömma nix machen, is zu teuer, lohnt sich nich.

goto10 schrieb:
--------------------------------------------------------------------------------
> Am Besten wäre natürliche ein Einblick in den Code für alle, damit
> Sicherheitslücken tatsächlich zeitnah geschlossen werden müssen.

Du meinst so wie OpenSSL, wo 1000 hartgesottene C-Sprache securitygestählte Entwickler jeden Tag den Code schrubbten?

OpenSource gibt dir bestenfalls die Möglichkeit. Die 100T oder Millionen musst du dann schon selbst reinstecken und das tut gerade bei einem 10€/Client Viruskiller keine Sau

FalschesEnde schrieb:
> Genau das ist doch das
> Problem: es sollte für einen Entwickler möglich und zumutbar sein, Software
> ohne Sicherheitslücken zu schreiben, bzw. diese selbst finden und
> korrigieren zu können. Das ist heute aber anscheinend nicht der Fall.
>

welch romantische Vorstellung - noch nie entwickelt oder? Noch nie in einem Softwareprojekt mit über 100 Entwicklern gearbeitet oder? Fehler passieren und lassen sich oft nicht vermeiden. Keiner kann alle Abhängigkeiten, alle Vorkommnisse vorhersehen - schon gar nicht wenn man mit Modulen, Systemen, Umgebungen anderer Hersteller arbeiten muss, wenn ungünstige Kombinationen Probleme verursachen. Aber was es immer gibt, sind Romantiker, die einem erzählen, dass man absolut sichere Software entwickeln können muss. Als ob die Fehler mit Absicht eingebaut werden.

Als "Entwickler" sehe ich nicht so sehr den Menschen vor der Tastatur, sondern das jeweilige Unternehmen, den Software-Hersteller. Der Mensch vor der Tastatur ist für mich ein "Programmierer" (auch der promovierte Diplom-Informatiker). Da bin ich Oldschool. Alle zusammen "entwickeln", ein paar wenige "entwerfen", viele "programmieren". Klar?

Vor allem für die großen Konzerne sollte es problemlos möglich sein, genügend Geld in QM/QS, Testing, Schulung, Review, etc. zu stecken, um Fehler vorab zu finden. Das muss mittlerweile eigentlich drin sein. Und ja, auch eine Einzelperson sollte zukünftig in der Lage sein sicheren Code abzuliefern. Heute ist das tatsächlich unmöglich, das geben die aktuellen Architekturen nicht her.