1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Internet Archive: Bank benutzte…

Immer das Gleiche Problem: Softwareentwicklung ist komplex

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: sigii 06.07.20 - 18:07

    Muss ja nur ein einziger Entwickler auf die Idee kommen das einfach so einzubinden (was tatsaechlich eher die Norm ist) und ein anderer Entwickler oder die SecOps Abteilung das nicht entdecken.


    Ehrlich gesagt ist das Entwicklungsalltag. Voellig egal ob das das Frontendteam der Bank ist oder sonst wer.

    - Der Product Owner guckt sich sowas nicht an.
    - Der Tech Lead ist nicht in der Lage jeden Code zu lesen (vorausgesetzt der sieht sowas als Fehler an)
    - Die QA guckt vielleicht nur auf Usability
    - Das Security Audit ist vlt schon wieder 2 Jahre her
    - Werkstudenten / Neue Kollegen / Junioren
    - Outsourcing
    - Team wechsel aka die 'Guten' gehen dann in andere Teams (moechte das jetzt nicht auf das Frontend beziehen, generell)

    Ich bin mir auch nicht wirklich sicher was golem und co sich als Antwort erwartet?

  2. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: Laforma 06.07.20 - 19:01

    sigii schrieb:
    --------------------------------------------------------------------------------
    > Muss ja nur ein einziger Entwickler auf die Idee kommen das einfach so
    > einzubinden (was tatsaechlich eher die Norm ist) und ein anderer Entwickler
    > oder die SecOps Abteilung das nicht entdecken.
    >
    > Ehrlich gesagt ist das Entwicklungsalltag. Voellig egal ob das das
    > Frontendteam der Bank ist oder sonst wer.
    >
    > - Der Product Owner guckt sich sowas nicht an.
    > - Der Tech Lead ist nicht in der Lage jeden Code zu lesen (vorausgesetzt
    > der sieht sowas als Fehler an)
    > - Die QA guckt vielleicht nur auf Usability
    > - Das Security Audit ist vlt schon wieder 2 Jahre her
    > - Werkstudenten / Neue Kollegen / Junioren
    > - Outsourcing
    > - Team wechsel aka die 'Guten' gehen dann in andere Teams (moechte das
    > jetzt nicht auf das Frontend beziehen, generell)
    >
    > Ich bin mir auch nicht wirklich sicher was golem und co sich als Antwort
    > erwartet?

    das ist schlichtweg falsch. ein programmierer ist kein admin und DARF fehler machen. der admin hat dafuer zu sorgen, dass das die systemintregrietaet trotz des fehlers unangetastet bleibt. wie es also sein kann, dass eine bankwebseite javascript von einem fremden host nachlaedt laesst hier tief in die sicherheitsmechanismen der bank gucken...

  3. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: Gole-mAndI 06.07.20 - 19:07

    sigii schrieb:
    --------------------------------------------------------------------------------
    > Muss ja nur ein einziger Entwickler auf die Idee kommen das einfach so
    > einzubinden (was tatsaechlich eher die Norm ist) und ein anderer Entwickler
    > oder die SecOps Abteilung das nicht entdecken.
    >
    > Ehrlich gesagt ist das Entwicklungsalltag. Voellig egal ob das das
    > Frontendteam der Bank ist oder sonst wer.
    >
    > - Der Product Owner guckt sich sowas nicht an.
    > - Der Tech Lead ist nicht in der Lage jeden Code zu lesen (vorausgesetzt
    > der sieht sowas als Fehler an)
    > - Die QA guckt vielleicht nur auf Usability
    > - Das Security Audit ist vlt schon wieder 2 Jahre her
    > - Werkstudenten / Neue Kollegen / Junioren
    > - Outsourcing
    > - Team wechsel aka die 'Guten' gehen dann in andere Teams (moechte das
    > jetzt nicht auf das Frontend beziehen, generell)
    >
    > Ich bin mir auch nicht wirklich sicher was golem und co sich als Antwort
    > erwartet?


    Sind wir zufällig Arbeitskollegen?

  4. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: mambokurt 06.07.20 - 19:08

    sigii schrieb:
    --------------------------------------------------------------------------------
    > Muss ja nur ein einziger Entwickler auf die Idee kommen das einfach so
    > einzubinden (was tatsaechlich eher die Norm ist) und ein anderer Entwickler
    > oder die SecOps Abteilung das nicht entdecken.
    >
    > Ehrlich gesagt ist das Entwicklungsalltag. Voellig egal ob das das
    > Frontendteam der Bank ist oder sonst wer.
    >
    > - Der Product Owner guckt sich sowas nicht an.
    > - Der Tech Lead ist nicht in der Lage jeden Code zu lesen (vorausgesetzt
    > der sieht sowas als Fehler an)
    > - Die QA guckt vielleicht nur auf Usability
    > - Das Security Audit ist vlt schon wieder 2 Jahre her
    > - Werkstudenten / Neue Kollegen / Junioren
    > - Outsourcing
    > - Team wechsel aka die 'Guten' gehen dann in andere Teams (moechte das
    > jetzt nicht auf das Frontend beziehen, generell)
    >
    > Ich bin mir auch nicht wirklich sicher was golem und co sich als Antwort
    > erwartet?

    Also wenn ich irgendwo hinkomme und neu bin ist Devise erstmal keinen Scheiß zu bauen und keinen Schaden zu machen, und wenn ich mir nicht sicher bin gehe ich halt den schweren Weg und nerve jemanden. Aber wie um Himmels Willen kommt denn jemand auf die grandiose Idee JS aus dem Archiv einzubinden und produktiv nutzen zu wollen? Das ist doch so dermaßen merkbefreit das tut schon weh.
    Und nein, keiner hats gesehen ist keine verdammte Ausrede. Wenn du deine eigene Website aufrufst und dir nicht am Kopf kratzt wenn da JS von IRGENDWOHER runtergeladen wird statt von eigenen Domains, da ist doch irgendwas grundfaul wenn das unbemerkt durchgeht. Das ist eine BANK, da fummelt doch keiner ohne das wer anders drüberguckt, egal ob Frontend oder Backend!

  5. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: S76 06.07.20 - 19:12

    Laforma schrieb:
    --------------------------------------------------------------------------------

    > das ist schlichtweg falsch. ein programmierer ist kein admin und DARF
    > fehler machen.

    ???
    Fehler können passieren. Aber JEDER Entwickler hat die Verantwortung für SEINEN Code - auch, dass dieser nach besten Wissen (also Sicherheitsaspekten) entwickelt wurde!

    > der admin hat dafuer zu sorgen, dass das die
    > systemintregrietaet trotz des fehlers unangetastet bleibt.

    Und der Admin muss dann das Genie sein, dass nie Fehler macht?
    Wie bist du denn drauf?

    Im Übrigen wären Admins dann deutlich unterbezahlt, wenn sie die Fehler der Entwickler - wie bei dir beschrieben - abfangen müssten.

    > wie es also sein
    > kann, dass eine bankwebseite javascript von einem fremden host nachlaedt
    > laesst hier tief in die sicherheitsmechanismen der bank gucken...

    Eher lässt dein Post tief blicken.
    Ich hoffe für uns alle, dass du kein Entwickler bist!
    *kopf-schüttel*

  6. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: berritorre 06.07.20 - 20:07

    > (was tatsaechlich eher die Norm ist)

    Es ist eher die Norm Datei vom Internetarchive in laufende Projekte einzubauen??????

  7. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: berritorre 06.07.20 - 20:12

    Da gebe ich dir völlig recht. Aber leider habe ich auch schon öfter gesehen, dass eine Kontrolle der Programmierung gerne mal auf andere Bereiche abgewälzt wird (z.B. Projektmanager), weil es halt keinen Spass macht, das programmierte nochma zu testen und es halt andere gibt die sowieso auch noch mal testen müssen. Dass es aber die Qualität erhöht, wenn man eben mehr als einmal testet ist dem Entwickler recht egal.

    Ich habe dann mal angefangen die Dateien zu testen und wenn ich viele Fehler gefunden habe ging das ganze mit einem Rüffel zurück. Jeder macht mal Fehler, deshalb testen ja dann nochmal andere. Aber wenn ich merke, dass die Person den Code hingerotzt hat und nicht mehr gestestet hat, dann werde ich sauer. Das gehört einfach dazu. Theoretisch müsste ein funktionierender Code abgeliefert werden. Danach kontrolliere ich das. Und nicht nach dem Motto: "Wenn was nicht passt, werden sie sich schon beschweren."

  8. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: mambokurt 06.07.20 - 20:40

    berritorre schrieb:
    --------------------------------------------------------------------------------
    > Da gebe ich dir völlig recht. Aber leider habe ich auch schon öfter
    > gesehen, dass eine Kontrolle der Programmierung gerne mal auf andere
    > Bereiche abgewälzt wird (z.B. Projektmanager), weil es halt keinen Spass
    > macht, das programmierte nochma zu testen und es halt andere gibt die
    > sowieso auch noch mal testen müssen. Dass es aber die Qualität erhöht, wenn
    > man eben mehr als einmal testet ist dem Entwickler recht egal.


    Also ich spring an der Stelle mal dazwischen: da wo ich bisher gedient habe war da immer einer über mir und der hatte vllt nicht jeden Scheiß der rausgegangen ist auf dem Schirm aber der hatte schon so den groben Überblick und hat Marschrichtung gegeben. Ich war aber auch nie irgendwo wo es mir in die Fresse explodiert wäre hätte ich so einen Scheiß verfasst! Da MUSS einer drüber gucken, da MUSS 4 Augenprinzip in drei Instanzen gelten eh da irgendwas produktiv geht. Da muss nur mal klar sein was _ich_ als arme Socke bei so einem Verein an Kohle abgreifen könnte _nur_ mit Zugriff aufs Frontend! Das ist ja an Lächerlichkeit nicht mehr zu schlagen für eine Bank!

  9. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: sigii 06.07.20 - 20:48

    Aehm das ist eine Bank richtig.

    Aber weist du wer gerne zu ner Bank geht um dort Software zu entwickeln?

    Also ich hab das 2 Jahre lang gemacht (durch einen Dienstleister) und ich war noch gar nicht so tief drin, und da willst du nicht arbeiten.

    Jede Innovation der Softwareentwicklung kommt so langsam bei den Banken ueberhaupt erst an. Die Softwarestacks sind gerne super alt, werden selten geupgraded, die Infrastrktur auch nicht. Java 13? oh wir migrieren doch erst von Java 8 weg.

  10. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: sigii 06.07.20 - 20:50

    Der konkrete Fall jetzt nicht. Das ist definitiv lustig zu lesen und spezieller aber eben nicht unrealistisch.

    Da brauchst du nur einen Junor der mal was von der Waybackmaschine gehoert hat, will dann eine Library benutzten weil er mal gesagt bekommen hat "Warum schreibst du das selbst? Nimm diese Library her" und daraus dann eine Regel macht.

    Oder das Suchergebnis war ausversehen von dort oder ein Stackoverflowartikel hat darauf verwiesen.

    Unrealistisch? Ganz ehrlich? Nope. Mehr Alltag als sonst was.

  11. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: sigii 06.07.20 - 20:52

    Ich kenne keinen Admin der sich den Code der Anwendung ansieht.

    Das ist eine Frontendlibrary. D.h. die wird im Browser nachgeladen. Das siehst doch ueberhaupt nicht und darauf achtest du auch nicht weil es voellig normal ist bestimmte Libraries so einzubinden z.B. Bootstrap.

    Da wird dir auch gleich ein Link zum CDN gegeben und das als Beispiel verwendet wie man die Library genau so einbindet. Selbst templates werden mit CDN URLs generiert, fuer dich, zum Herunterladen.

  12. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: mambokurt 06.07.20 - 21:58

    sigii schrieb:
    --------------------------------------------------------------------------------
    > Ich kenne keinen Admin der sich den Code der Anwendung ansieht.
    >
    > Das ist eine Frontendlibrary. D.h. die wird im Browser nachgeladen. Das
    > siehst doch ueberhaupt nicht und darauf achtest du auch nicht weil es
    > voellig normal ist bestimmte Libraries so einzubinden z.B. Bootstrap.
    >
    > Da wird dir auch gleich ein Link zum CDN gegeben und das als Beispiel
    > verwendet wie man die Library genau so einbindet. Selbst templates werden
    > mit CDN URLs generiert, fuer dich, zum Herunterladen.

    Einen Scheiß ist das normal das so zu laden wenn du das nicht zur Regel werden lässt O.o. Also ich bekäme sanfte Schläge in den Nacken würde ich auf die Idee kommen irgendwelches Js aus dem Netz ins Frontend zu ziehen statt von _unserem_ Server. Und dann hat das begründet zu werden warum das ins Projekt geht und über Änderungen wird drübergeguckt.

    Ist ja schon schlimm genug wenn man sich potentielle Lücken über fremdes JS ins Frontend zerrt aber sich Js aus fremden Quellen ins Frontend zerren? Das kannste auf irgendeiner Bummsseite bringen aber auf der Seite einer Bank? Entweder bin ich gerade nicht 2020 genug oder der Rest der Entwickler hat hier gerade so ein bissl verlernt was Eigenverantwortung ist und möchte gerne Verantwortung nach Unbekannt abschieben. NEIN es ist nicht in Ordnung sich irgendwelche Dependencies ungeprüft ins Projekt zu zerren -.-

    Wenn ihr das so wollt dann nehmt bitte Mindestlohn und schimpft euch nicht Entwickler, eine verdammte Schande ist das! Da platzt mir echt der Hintern, 'ja das ist ja normal', nur weil es einfach ist und IHR Verantwortung abschieben könnt ist es das lange nicht. Wer auch immer das gemacht hat _sollte_ bluten, Kündigung ist das Mindeste. Und Nichts ist 'machen alle' sondern bei sowas muss mit Hand und Fuß begründet sein WARUM man irgendwelchen Bullshit aus dem Netz zerrt.

  13. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: elf 06.07.20 - 22:07

    Ich fürchte, du hast noch nie einen modernen Webserver aufgesetzt. Denn dann wüsstest du, dass der admin das Einbinden fremdrn Contents zu konfigurieren bzw verhindern hat.

  14. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: sigii 06.07.20 - 22:23

    Aha weis nicht was du damit genau meinst.

    Unsere nginx haben keine Erkennung darin, dass externe Javascriptquellen erkannt werden. Hoere ich jetzt auch zum ersten Mal.

    ich kenn das auch nicht von Tomcat, WebSphere, Apache2 und auch nicht von glasfsh

  15. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: sigii 06.07.20 - 22:24

    Ich hab das auch gar nicht behauptet.

    Ich hab erklaert wie das Zustande kommt.

    Es ist nun mal auch nicht jeder in der IT seit x Jahren, da kommt jedes Jahr eine neue Generation an Softwareentwickler die alle aufs neue Erfahrungen sammeln muessen.

  16. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: tomatentee 06.07.20 - 23:07

    sigii schrieb:
    --------------------------------------------------------------------------------

    > Java 13? oh wir migrieren doch
    > erst von Java 8 weg.
    >
    Ihr migriert von Java 8 WEG? Was seid ihr denn fürn Fintech?
    Ne ernsthafte Bank-IT ist mit den Audits für Java 8 noch nicht durch. Die haben die Windows 7 Rollout grade erfolgreich über die Bühne gebracht ;-)

  17. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: mambokurt 06.07.20 - 23:14

    sigii schrieb:
    --------------------------------------------------------------------------------
    > Ich hab das auch gar nicht behauptet.
    >
    > Ich hab erklaert wie das Zustande kommt.
    >
    > Es ist nun mal auch nicht jeder in der IT seit x Jahren, da kommt jedes
    > Jahr eine neue Generation an Softwareentwickler die alle aufs neue
    > Erfahrungen sammeln muessen.

    Und die alle brauchen mal den Nackenschlag wenn sie dabei sind die Achse vom ICE beim günstigen Mitbewerber zu ordern(der die Qualität nicht hat). Und die alle haben keine Shortcuts zu nutzen und das JS aus dem Projekt zu verwenden. Keine Raketenwissenschaft, funktioniert bei uns seit 20 Jahren ohne dass jemand fremde Dependencies zieht ohne gefragt zu haben! Das wäre für mich kein Spaß, ich würde denjenigen erstmal gewaltsam aus der Tür geleiten und dann sein Zeug hinterherschmeißen und _dann_ bei seinem Vorgesetzten nachfragen ob er den evtl noch brauchen könnte. Und ich würde Recht bekommen ohne Diskussion. Da ist nix mit Frischlingsschutz, es gibt sowas wie Zurückhaltung und best practices und wenn du das nicht drauf hast kannst du dich woanders schädlich verhalten...

  18. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: mambokurt 06.07.20 - 23:27

    elf schrieb:
    --------------------------------------------------------------------------------
    > Ich fürchte, du hast noch nie einen modernen Webserver aufgesetzt. Denn
    > dann wüsstest du, dass der admin das Einbinden fremdrn Contents zu
    > konfigurieren bzw verhindern hat.

    Jain hat er und nö das hat nichts damit zu tun dass man keine Javascripts von anderen Servern einsetzt als Profi. Wenn ein Webdesigner das gern machen möchte weil er das nicht abdecken kann ist das ok aber als Entwickler liegt dein Anspruch höher und dann scheiterts schon beim Eichecken wo dann jemand sagt 'momentmal, woher kommt das Script?'

  19. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: wupme 07.07.20 - 08:04

    sigii schrieb:
    --------------------------------------------------------------------------------
    > Ich hab das auch gar nicht behauptet.
    >
    > Ich hab erklaert wie das Zustande kommt.
    >
    > Es ist nun mal auch nicht jeder in der IT seit x Jahren, da kommt jedes
    > Jahr eine neue Generation an Softwareentwickler die alle aufs neue
    > Erfahrungen sammeln muessen.

    Und dafür haben Erfahrene Entwickler hintendranzustehen die bei so etwas beim ersten mal mit dem Finger wedeln, und beim nächsten mal eine Kopfnuss verteilen.

    Ja ich lade auch externes Zeug, für die Seite von unseren Vereinen. NICHT für eine Bank.

  20. Re: Immer das Gleiche Problem: Softwareentwicklung ist komplex

    Autor: elgooG 07.07.20 - 09:04

    Eine Sicherheitsüberprüfung die noch nicht einmal ermittelt auf welche externen Domains und URLS zugegriffen wird, ist absolut wertlos.

    Banken wird zwar immer nachgesagt, dass sie auf Sicherheit setzen, aber wenn man mal in der Praxis mit denen zu tun hatte möchte man nie mehr ein Konto bei denen. Die setzen voll und ganz auf Security by Obscurity. Sicherheit kostet Geld und Geld will man dafür nicht opfern, schon gar keine Zeit. Hinweise auf Sicherheitsprobleme durch Externe münden nicht umsonst eher mit Klagedrohungen anstatt einer Behebung der Probleme. Ich erinnere hier nur an die US-Bank wo es reichte die URL zu editieren um auf fremde Account zu kommen.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. CompuGroup Medical SE & Co. KGaA, Rodgau, Frankfurt, Wiesbaden, Mainz, Mannheim (Home-Office)
  2. Investitionsbank Schleswig-Holstein, Kiel
  3. ATP Autoteile GmbH, Pressath
  4. Oetker Group Human Resources GmbH, deutschlandweit

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 1.779€ (Bestpreis!)
  2. (u. a. Nintendo Switch Lite inkl. Super Mario 3D All-Stars für 236,09€, Google Chromecast für...
  3. 39,97€
  4. 424€ (mit Rabattcode "YDENUEDR6CZQWFQM" - Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Thinkpad Trackpoint Keyboard 2 im Test: Tolle kompakte Tastatur für Thinkpad-Fans
Thinkpad Trackpoint Keyboard 2 im Test
Tolle kompakte Tastatur für Thinkpad-Fans

Lenovos externe Thinkpad-Tastatur bietet alle Vorteile der Tastatur eines Thinkpad-Notebooks. Sie arbeitet drahtlos und mit Akkutechnik.
Ein Test von Ingo Pakalski

  1. Thinkpad X1 Fold Das faltbare Thinkpad kommt im Oktober
  2. Thinkpad X1 Nano Lenovo macht das Carbon winzig
  3. Thinkpad E14 Gen2 (AMD) im Test Gelungener Ryzen-Laptop für 700 Euro

Oneplus 8T im Test: Oneplus gutes Gesamtpaket kostet 600 Euro
Oneplus 8T im Test
Oneplus gutes Gesamtpaket kostet 600 Euro

Das Oneplus 8 wird durch das 8T abgelöst. Im Test überzeugen vor allem die Kamera und die Ladegeschwindigkeit. Ein 8T Pro gibt es 2020 nicht.
Ein Test von Tobias Költzsch

  1. Bloatware Oneplus installiert keine Facebook-Dienste mehr vor
  2. Smartphone Oneplus 8 und 8 Pro bekommen Android 11
  3. Mobile Neues Oneplus-Smartphone für 200 US-Dollar erwartet

Tutorial: Was ein On Screen Display alles kann
Tutorial
Was ein On Screen Display alles kann

Werkzeugkasten Viele PC-Spieler schwören auf ein OSD. Denn damit lassen sich Limits erkennen, die Bildqualität verbessern und Ruckler verringern.
Von Marc Sauter