1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IMHO: Zertifizierungen sind der…

Qualifiziertes Audit

  1. Thema

Neues Thema Ansicht wechseln


  1. Qualifiziertes Audit

    Autor: Sascha Klandestin 26.01.15 - 09:44

    So wie eine Million Affen an Schreibmaschinen keinen Shakespeare schreiben, so werden eine Million Affen bei Code-Audits keine Sicherheit schaffen.

    Will man OpenSource-Kommunismus, müsste man sicherheitskritische Software verstaatlichen (oder an eine Non-Profit-Organisation übertragen) und dann den Quellcode veröffentlichen.

    Will man ein marktwirtschaftliches Konzept, sind Zertifizierungen eine Möglichkeit, die Situation zu verbessern. Diese Zertifizierungsstellen müssen sich natürlich erst einen Ruf erwerben. Selbst beim allgegenwärtigen BIO-Siegel hat es Jahre gedauert, bis sich herumgesprochen hat, was das Siegel wirklich bedeutet.

  2. Re: Qualifiziertes Audit

    Autor: derdiedas 26.01.15 - 11:33

    Der heartbleed bug hat bewiesen das zertifizierung fürs Gesäß sind.

    Der Bug hat es durch so gut wie alle Zertifizierungen weltweit geschafft. Von FIPS (140-2 Level 3 Zertifiziert), EAL 4 usw... usw... usw...

    Warum weiß ich das so genau, weil ich für einen IT Security Anbieter arbeite dessen Lösungen aber betroffen war.

    Die Zertifizierung kannste mal schon vergessen, denn es mangelst schon an einer Grundvoraussetzung - Zeit.

    Eine Zertifizierung hat innerhalb einer absehbaren Zeit zu erfolgen. In dieser Zeit aber ist es faktisch unmöglich ein Produkt allumfassend zu beleuchten. Eine Backdoor ist nur auf Sourcecode ebene erkennbar, und auch nur dann wenn sie offensichtlich dort steht.

    Diese Zertifizierung aber nun wiegt alle Kunden in einer Sicherheit die es niemals leisten kann. Es verleitet sogar zu Fahrlässigkeit, weil die Lösung ja so sicher ist.

    In der IT gibt es aktuell kein einziges Zertifikat das es über dem Niveau eines Jodeldiplom bringt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Hays AG, Hartenstein
  2. Stadtwerke Herford GmbH, Herford
  3. Merz Pharma GmbH & Co. KGaA, Frankfurt am Main
  4. msg DAVID GmbH, Braunschweig

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (garantierte Lieferung vor Weihnachten bei Bestellung bis 14.12.)
  2. (u. a. Ryzen 5 5600X 3,7GHz mit Wraith Stealth Kühler für 437,95€)
  3. gratis (bis 10.12., 17 Uhr)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

RCEP: Warum China plötzlich auf Freihandel setzt
RCEP
Warum China plötzlich auf Freihandel setzt

China und andere wichtige asiatische Herstellerländer von Elektronikprodukten haben ein Freihandelsabkommen geschlossen. Dessen Bedeutung geht weit über rein wirtschaftliche Fragen hinaus.
Eine Analyse von Werner Pluta

  1. Berufungsverfahren in weiter Ferne Tesla wirbt weiter mit Autopilot
  2. Warntag BBK prüft Einführung des Cell Broadcast neben Warn-Apps
  3. Bundesverkehrsministerium Keine Abstriche beim geplanten Universaldienst

Geforce RTX 3060 Ti im Test: Die wäre toll, wenn verfügbar-Grafikkarte
Geforce RTX 3060 Ti im Test
Die "wäre toll, wenn verfügbar"-Grafikkarte

Mit der Geforce RTX 3060 Ti bringt Nvidia die Ampere-Technik in das 400-Euro-Segment. Dort ist die Radeon RX 5700 XT chancenlos.
Ein Test von Marc Sauter

  1. Supercomputer-Beschleuniger Nvidia verdoppelt Videospeicher des A100
  2. Nvidia Geforce RTX 3080 Ti kommt im Januar 2021 für 1.000 US-Dollar
  3. Ampere-Grafikkarten Specs der RTX 3080 Ti und RTX 3060 Ti