Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Fuzzing: Wie man Heartbleed hätte…

Das wirkliche bittere an solchen Stories ist

  1. Thema

Neues Thema Ansicht wechseln


  1. Das wirkliche bittere an solchen Stories ist

    Autor: Trockenobst 07.04.15 - 17:34

    das hier Firmen mit Milliardenbudgets keine 20 Profis abstellen um solche Fehler und Experimente selbst zu finden. Serverparks bauen sie ja praktisch jede Woche einen neuen, daran kann es nicht scheitern.

    Stattdessen kaufen sie **harte** Bugs für viel $$$$$ das Stück und haben damit überhaupt erst einen Markt entstehen lassen. Wo Sicherheit hinter Geldmachen zurücksteht.

  2. Re: Das wirkliche bittere an solchen Stories ist

    Autor: theonlyone 07.04.15 - 18:58

    OhOh.

    natürlich geben die Firmen Geld aus, kommt ja letztlich von Google der gute Herr einer der Software Packen.

    Das ist nur, wenn dir ein Bug bekannt ist, dann kannst du auch viel sinnvoller nach diesen bugs suchen.

    Das komplexe ist eben nach Bugs zu suchen mit denen man nicht gerechnet hat, gerade in Code den Leute X-fach überlesen haben und der im "Prinzip" tut was er soll wird man nicht noch extra Geld reinblasen um in verschiedenstensten Varianten den immer gleichen Code zu testen.

    Gerade wenn es mit Speicher-Überschreiben und co. zu tun hat lässt sich das eben echt schlecht testen. Das ist nicht einfach so getan mit üblichen Tests, im Prinzip muss man ja die Funktionsfähigkeit der grundlegendsten Funktionen hinterfragen, da für alles "Hacks" existieren und man will ja praktisch ALLES abwehren.

    Das funktioniert eben nicht und der Code ist unter Garantie auch jetzt nicht BugFrei, man hat die möglichen Fehler nur noch nicht gefunden, oder sie werden nicht aktiv ausgenutzt.

    Das ist eine Erkenntnis die man als Informatiker einfach einsehen muss.

    Am Ende muss der Code das tun (möglichst deterministisch) was die Anforderung verlangt, alle Fehlerquellen die einem bekannt sind sollte man abdecken, dann bleibt nur noch auf neue Erkenntnisse schnell zu reagieren ; was auch keine Selbstverständlichkeit ist, gerade wenn die Software Packete deutlich größer und umfangreicher werden und die "Spezialisiten" die das mal gemacht haben schon lange nicht mehr in der Firma sind.


    Demnach, da fließt bereits genug Geld rein, am Ende macht es aber auch wirtschaftlich gar keinen Sinn ZU VIEL in das Testen zu investieren, zumindest nicht als Profis die man monatlich dafür bezahlt.

    Das funktioniert viel besser über reine Unabhängige, so viele Augen wie möglich über den Code schauen lassen und diesen immer wieder grundlegend hinterfragen, da kommt man schon auf viele Dinge, "mit der zeit".

  3. Re: Das wirkliche bittere an solchen Stories ist

    Autor: Trockenobst 07.04.15 - 19:05

    theonlyone schrieb:
    --------------------------------------------------------------------------------
    > Demnach, da fließt bereits genug Geld rein, am Ende macht es aber auch
    > wirtschaftlich gar keinen Sinn ZU VIEL in das Testen zu investieren,
    > zumindest nicht als Profis die man monatlich dafür bezahlt.

    Wenn man bedenkt dass eine Menge Bugs in bestimmten Windows und Adobe Komponenten aufgetreten sind, vor allem dort wo man Fileformate parst (TTF, PDF, DOC, Flash etc.) und somit die Eingabeparameter "variabel" sind, lasse ich es da nicht gelten: "da weiß man nicht nach was man suchen soll".

    Man hat ein sehr konkreten "Anwendungsfall" und zig sehr kritische Bugs. Mit defensiver Programmierung würde so was gar nicht auftreten. Wenn hier ein paar handvoll interessierte Spezialisten solche Themen "finden", was würden dann 100 Spezialisten mit vergoldeter Vollanstellung und 1000 Servern finden?

    Microsoft und Co machen Milliarden im Jahr. Es ist offensichtlich dass man auch bei klaren Anwendungsfällen und sehr kleiner Testmenge es lieber den Hackern überlässt die Fuzzy-Technik anzuwenden. Die paar Millionen im Jahr für 0-Days sind halt billiger.

    Den dabei entstehenden Schaden, etwa durch Datendiebstahl, der in die Milliarden geht - für den muss man ja nicht einstehen. Das übliche halt: Sozialisierung der Kosten und Schäden.

  4. Re: Das wirkliche bittere an solchen Stories ist

    Autor: narea 08.04.15 - 15:56

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > das hier Firmen mit Milliardenbudgets keine 20 Profis abstellen um solche
    > Fehler und Experimente selbst zu finden. Serverparks bauen sie ja praktisch
    > jede Woche einen neuen, daran kann es nicht scheitern.

    Stell dir mal vor Adobe würde das machen für Flash.
    Soviel Speicherplatz haben die nicht, dass das Programm alle Fehler überhaupt irgendwo hin speichern könnte.

  5. Re: Das wirkliche bittere an solchen Stories ist

    Autor: theonlyone 08.04.15 - 17:01

    narea schrieb:
    --------------------------------------------------------------------------------
    > Trockenobst schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > das hier Firmen mit Milliardenbudgets keine 20 Profis abstellen um
    > solche
    > > Fehler und Experimente selbst zu finden. Serverparks bauen sie ja
    > praktisch
    > > jede Woche einen neuen, daran kann es nicht scheitern.
    >
    > Stell dir mal vor Adobe würde das machen für Flash.
    > Soviel Speicherplatz haben die nicht, dass das Programm alle Fehler
    > überhaupt irgendwo hin speichern könnte.

    Achwas ist doch ganz einfach, direkt den ganzen Projekt-Ordner als "Bug" markieren, damit hat man alles abgedeckt ;P

  6. Re: Das wirkliche bittere an solchen Stories ist

    Autor: theonlyone 08.04.15 - 17:01

    narea schrieb:
    --------------------------------------------------------------------------------
    > Trockenobst schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > das hier Firmen mit Milliardenbudgets keine 20 Profis abstellen um
    > solche
    > > Fehler und Experimente selbst zu finden. Serverparks bauen sie ja
    > praktisch
    > > jede Woche einen neuen, daran kann es nicht scheitern.
    >
    > Stell dir mal vor Adobe würde das machen für Flash.
    > Soviel Speicherplatz haben die nicht, dass das Programm alle Fehler
    > überhaupt irgendwo hin speichern könnte.

    Achwas ist doch ganz einfach, direkt den ganzen Projekt-Ordner als "Brain-Bug" markieren, damit hat man alles abgedeckt ;P

  7. Re: Das wirkliche bittere an solchen Stories ist

    Autor: estev 09.04.15 - 14:52

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > Mit defensiver Programmierung würde so was gar nicht auftreten.

    Made my day.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Camelot ITLab GmbH, Mannheim, Köln
  2. operational services GmbH & Co. KG, Wolfsburg, Braunschweig
  3. Störk-Tronic, Störk GmbH & Co. KG, Stuttgart (Vaihingen)
  4. BWI GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 26,99€ (Release am 26. Juli)
  2. 129,90€
  3. 47,99€
  4. 339,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

Razer Blade 15 Advanced im Test: Treffen der Generationen
Razer Blade 15 Advanced im Test
Treffen der Generationen

Auf den ersten Blick ähneln sich das neue und das ein Jahr alte Razer Blade 15: Beide setzen auf ein identisches erstklassiges Chassis. Der größte Vorteil des neuen Modells sind aber nicht offensichtliche Argumente - sondern das, was drinnen steckt.
Ein Test von Oliver Nickel

  1. Blade 15 Advanced Razer packt RTX 2080 und OLED-Panel in 15-Zöller
  2. Blade Stealth (2019) Razer packt Geforce MX150 in 13-Zoll-Ultrabook

Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.

  1. Satellitennavigation Galileo ist wieder online

  1. Selfblow: Secure Boot in allen Tegra X1 umgehbar
    Selfblow
    Secure Boot in allen Tegra X1 umgehbar

    Ein Fehler im Bootloader der Tegra X1 von Nvidia ermöglicht das komplette Umgehen der Verifikation des Systemboots. Das betrifft wohl alle Geräte außer der Switch. Nvidia stellt ein Update bereit.

  2. Star Market: China eröffnet Nasdaq-Konkurrenz mit starken Kursgewinnen
    Star Market
    China eröffnet Nasdaq-Konkurrenz mit starken Kursgewinnen

    In China ist der Star Market mit Kursgewinnen um bis zu 520 Prozent gestartet. Dort werden die Zugewinne in den ersten Tagen - nicht wie sonst üblich - kontrolliert.

  3. Hyperloop Pod Competition: Elon Musk will eine zehn Kilometer lange Hyerloop-Röhre
    Hyperloop Pod Competition
    Elon Musk will eine zehn Kilometer lange Hyerloop-Röhre

    SpaceX' Hyperloop Pod Competition 2019 ist gerade beendet - mit einem bekannten Sieger -, da hat Elon Musk eine Idee für das kommende Jahr: eine viel längere Röhre mit einer Krümmung. Wie er die bauen will, weiß er aber noch nicht.


  1. 16:19

  2. 15:42

  3. 15:31

  4. 15:22

  5. 15:07

  6. 14:52

  7. 14:39

  8. 14:27