Security auslassen

**UzumakiNaruto** · 24.06.2008, 14:12

also sobald geld im spiel ist wird ja auch der webseiten betrieber was davon bekommen .. und dafür sollte man sich auch die zeit nehmen für sicherheit zu sorgen.

wäre ja schon blöd wenn dann wegen der webseite arge probleme auftreten ... wie abbuchungen ohne grund etc

communityprojekte ... je nach dem ... clan-scripte werden in der regel einmal erstellt .. dann vllt mal hin und wieder eine neue funktion dazu .. fertig.

**unset** · 24.06.2008, 14:15

Beabsichtigtes auslassen ist Fahrlässigkeit und wird in jedem Softwarevertrag beklauselt.

Aber allein auf die Idee zu kommen so zu arbeiten ist peinlich.

**pekka** · 24.06.2008, 15:14

Aber allein auf die Idee zu kommen so zu arbeiten ist peinlich.

Aber echt. Sorry, aber das ist die saublödeste Frage, die mir seit langem untergekommen ist. Da fehlen mir die Worte.

Beabsichtigtes auslassen ist Fahrlässigkeit und wird in jedem Softwarevertrag beklauselt.

Das ist auch ohne Klausel und ohne Vertrag Fahrlässigkeit.

**Onyxagargaryll** · 24.06.2008, 16:49

Was soll denn die Empörung

Wie's z.B. UzumakiNaruto geschrieben hat:
Ein Clan will möglichst bald eine Homepage, sie fragen mich ob ich das nicht übernehmen könnte, ich programmiere ein bisschen was und sichere nicht gross was ab. Sagen wir der Clan besteht aus 7-8 Leuten.
Dann find ich die Überlegung überhaupt net daneben, ein bissl was auszulassen!

Dass ihr bei

Aufträgen, wo Geld im Spiel ist, aber nichts wegen Security erwähnt wurde

den Kopf schüttelt versteh ich ja, aber bei so Kleinprojekten?

Ich hab net Unmengen an Zeit, und Zeit ist Geld meine Lieben

EDIT: Find ich immer toll wenn Posts die Gemüter bewegen ^^

**case** · 24.06.2008, 16:54

so, ich will auch mal meinen Senf dazu abgeben

Also man sollte eine Grundsicherheit immer in allem was man macht drin haben, das gilt auch für clan-scripte...... stell dir mal vor du lässt eine Lücke, wo man etwas SQL Injecten könnte, da es ja "nur" für einen Clan ist gibt es keine Backups und die Datenbank ist weg

z.B. bei generellem IP-loggen, was du ja auch aufgeführt hast, sieht das natürlich schon ganz anders aus. So etwas würde ich auch nur einbauen, wenn es gefordert ist.

**unset** · 24.06.2008, 16:57

Wenn du dir der Risiken unsicherer Software nicht bewusst bist, dann verkaufe deine Programmierdienste nicht! Es gibt eine ganze Reihe von Programmen, die eine Seite auf beliebte Anfängerfehler hin testen, und ggf. über gefundene Lücken einbrechen können. Eine so platzierte Shell kann schnell zum finanziellen Tod des Serverbetreibers werden. Ein bischen Spam hier, ein paar Kinder********************s da, und Ratz-Fatz hagelt es Abmahnungen und Anzeigen. Und das nur, weil du die schnelle Mark machen wolltest!

Was soll denn die Empörung fragst du da noch?

**lennart** · 24.06.2008, 17:00

Absolut unfassbar. Informiere dich mal was über Sicherheitslücken in Web-Programmen alles möglich ist.

Warum wollen eigentlich alle mit jedem Scheiß sofort Geld machen? Clanwebsite... Wenn ich das schon höre!

**Onyxagargaryll** · 24.06.2008, 17:11

Also den Kommentar fand ich jetzt gänzlich unproduktiv oO
1. Woraus schliesst du, ich hätte keine Ahnung was Sicherheitsrisiken anbelangt?
und 2. die Clanwebsite wäre natürlich zum gratis machen, da wäre kein Geld im Spiel (siehe oben).

Gruss
Onyx

**onemorenerd** · 24.06.2008, 17:12

WTF? Wieso bist du mit einem Projekt schneller fertig, wenn du auf Sicherheit verzichtest?! Kannst du mal ein Beispiel geben?

Die meisten Dinge, auf die es zu achten gilt, sind einem doch so in Fleisch und Blut übergegangen, dass man sich schon konzentrieren müßte, um es bewußt anders, nämlich falsch/unsicher zu machen. Ist wie mit dem Blinken beim Autofahren. Schon mal versucht, das wegzulassen?

Übrigens hat Logging nichts mit Sicherheit zu tun. Logs helfen dir nach einem Vorfall, können ihn aber nicht verhindern.
Botsperren erhöhen ebenfalls nicht die Sicherheit einer Seite. Sie schützen nur vor automatisiertem Müllabladen. Die Betonung liegt hier auf automatisiert. Inhaltlichen Müll kann nämlich auch ein normaler User produzieren. Gefährlich ist das aus technischer Sicht nicht.

Logging und Captchas sind Features und als solche würde ich sie ohne explizite Anforderung auch nicht einbauen. Allerdings verstehe ich es als meine Aufgabe, den Kunden schon bei der Konzeption darauf hinzuweisen, wie sinnvoll diese Features sind.

**case** · 24.06.2008, 17:28

Original geschrieben von onemorenerd
Ist wie mit dem Blinken beim Autofahren. Schon mal versucht, das wegzulassen?

Also das probier ich nachher mal aus

**onemorenerd** · 24.06.2008, 17:47

Original geschrieben von case
Also das probier ich nachher mal aus

War natürlich nur ein Beispiel. Wahrscheinlich kann man es tatsächlich unterdrücken. Aber ansonsten ist es eine gute Analogie. Ohne Blinken ist einfach gefährlicher, verstößt gegen die StVO, es erlischt der Versicherungsschutz und man ist keine Sekunde eher am Ziel.

**pekka** · 24.06.2008, 18:30

Ob Clanwebsite für Umme oder bezahltes Projekt: Es gibt Dinge, die gehören dazu, und darüber nachzudenken, diese wegzulassen, ist mehr als idiotisch - so, als würde ein Maurer für ein gering oder gar nicht bezahltes Projekt Mörtel verwenden, der nach 14 Tagen brüchig wird. Dazu gehören z.B. das Escapen von Benutzereingaben, das Vorverarbeiten von Request-Variablen bevor diese z.B. zum Includen von Dateien benutzt werden, und sonstige dem gesunden Menschenverstand entspringende grundlegende Sicherheitsüberlegungen. Wer diese Dinge wegläßt, um schneller fertigzuwerden, ist ein Pfuscher.

Dann gibt es, wie onemorenerd schon sagt, Features wie Captchas, Logging und dergleichen. Oder hochgradige Sicherheitsvorkehrungen wie PHPIDS, Hardened PHP und so weiter. Während sicherlich allesamt zu empfehlen, sind das Dinge, die man nicht in jedem Projekt umsetzen kann und auch nicht muß.

Meine 2 Cents.

**Kropff** · 24.06.2008, 19:26

jetzt will ich auch mal meinen senf dazu geben!

in meiner alten agentur gab es kunden, die wegen jeder minute programmierarbeit rumgefeilscht haben! die wollten wirklich nur quick-and-dirty, hopplahopp und kosten durfte es sowieso nichts. da hab ich denen gesagt, dass ich da mit uraltem code und copy&paste etwas in der geforderten zeit zusammenhauen kann, auch wenn die sicherheitslücken immens sind. aber das hat denen gefallen. sicherheit spielte keine rolle, wenn es etwas kostete.

daher: wer nicht bereit ist, für sicherheit und sauberes programmieren zu bezahlen, bekommt auch keine!

ansonsten würde ich aber sagen, dass man gerade bei privaten projekten, die für lau sind, sich das thema sicherheit sehr gut antrainieren kann. also sauber programmieren und alle lücken stopfen. allerdings müssen die clan-fuzzis dann auch bereit sein, sich ein wenig zu gedulden. denn wenn es schnell gehen soll, dann halt ohne sicherheit.

gruß
peter

**onemorenerd** · 24.06.2008, 19:53

OffTopic:
Muss ja ein toller Arbeitgeber gewesen sein.
No offense.

Dein Arbeitgeber hat sich sicherlich von allen Rechtsansprüchen, die aus Sicherheitsmängeln entstehen, vertraglich befreit. Wenn er auf seinen Ruf bedacht war, hat er außerdem auf einer Klausel bestanden, die vom Kunden im Schadensfall Stillschweigen fordert oder zumindest die explizite Angabe, dass er diesen Sicherheitsmangel so beauftragt hat.

Es ist ein großer Unterschied zwischen eigenmächtigem "Security auslassen" und "Sicherheitsmängel wurden beauftragt".

Wo ich grad bei Vertrag und so bin: Pekka hat Recht. Auch ohne Vertrag und Geld bist du wahrscheinlich (bin kein Anwalt) für eine gewisse Grundsicherheit verantwortlich. Alles andere wäre, um mal wieder eine Analogie zu verwenden, so, als ob ich dir ein Geschenk mache, von dem ich genau weiß, dass es beim Gebrauch explodiert.

Wird geladen... Bitte warte.

Security auslassen

Security auslassen

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar