Security auslassen

stand im angebot explizit drin!
s.o.
der kunde hat sie nicht beauftragt, aber auf grund des geringen budgets billigend in kauf genommen.

gott sei dank sind da meine neuen kunden (und auch kollegen) anders. die verlangen eine absolut saubere arbeit, auch wenn's ein klein wenig mehr kostet.

peter

Und noch mein Testbericht dazu: Die analogie ist sogar noch besser.... Um nicht zu blinken muss man wirklich mehr nachdenken... Da man wirklich aus einem Automatismus heraus nicht blinkt muss man wirklich dran denken, nicht zu vergessen, nicht zu blinken

Da dieser Thread zum nichtblinkenden Autofahrer abdriftet möchte ich mich einfach noch kurz für die letzten Statements bedanken.

Durch etwas ausprobieren und nachdenken wurde auch mir klar, dass der Zeitgewinn geradezu minim ist und sich daher eine solche Aktion kaum lohnen würde - selbst z.B. Captchas hat man ja mit der Zeit copy&paste-bereit, sodass der Einbau gerade mal 5 Minuten in Anspruch nimmt..

Naja das war noch mein Senf dazu, nun danke und grüsse ich allen und wünsche noch einen schönen Tag!

Gruss
Onyx


PS: Ich habs mit dem Blinken ausprobiert ^^ Ich habs höchstens bei 50% der Abbiegungen geschafft nicht zu blinken...

Die meisten Dinge hat man als Jemand, der Aufträge annimmt, ohnehin schon gekapselt vorliegen. Copy&Paste von Code-Segmenten halte ich nach wie vor für ein No-Go. Das impliziert, dass nicht ordentlich gekapselt ist, und anpassungen gemacht werden müssen - und dann wird irgendwo wieder irgendwas vergessen.

Setz dich mal mit agiler Softwareentwicklung auseinander. Das wird deinen Alltag ungemein erleichtern!

Also bei mir zählt Security auch zu den wichtigsten Features. Ich hab keine ruhige Minute wenn ich weiß das eine "windige Anwendung" gerade von Users überrannt wird.

Ich versteh das ganze Problem auch nicht so wirklich. Da setzt man sich mal einen Nachmittag hin, und zaubert ein schönes Parameter Object, welches die Annahme und Verarbeitung von User Input übernimmt. Da kannst du dann filtern, validieren und was weiß ich nicht noch alles machen.

Dieses Object lässt sich dann doch problemlos in allen Seiten wieder verwenden. Wo ist denn da der Mehraufwand?! Bei SQL setze ich auf prepared statements mit bind vars. Die per se schon sicher.

Btw Pekka: PHPIDS ist keine Sicherheitsvorkehrung in dem Sinne. Der Angriff wird damit nicht verhindert, sondern nur erkannt. Ich war bei der Geburt von PHPIDS anwesend

Das ist natürlich ein Argument!

ich weiß nicht wie sich das bei php ids verhält ... aber das "normale" ids für den pc/server entdeckt angriffe und verhindert diese unter umständen auch, sofern eine regel dafür vorhanden ist.

ich denke mir mal, php ids kann man auch so drehen, sobald ein angriff von ip xy entdeckt wird, das dann alle anfragen/etc auf einen anderen server umgeleitet wird, der sicherheitstechnisch "offen" ist (honeypots) .. womit der angriff abgewehrt wäre.

Es ist eine simple Kosten-Nutzen-Rechnung. Entweder investiert man am Anfang viel in die Absicherung des Codes oder man muss halt später mit den Kosten leben, wenn die Lücken ausgenutzt werden.
Ich behaupte einfach mal, dass es sehr oft so ist, dass obwohl Geld für Sicherheit ausgegeben wurde, am Ende trotzdem Lücken drin sind, die ausgenutzt werden und weitere Kosten verursachen (sichere Software gibt es nun mal nicht). Dann ist es auch irgendwie verständlich, dass man sich dann überlegt, von Anfang an gar nicht erst so viel in Sicherheit zu investieren.
Es gibt ja auch unter Entwicklern viele schwarze Schafe, die zwar Sicherheit verkaufen aber in Wirklichkeit überhaupt keine Ahnung haben.

Letztendlich ist es sowieso ein Pokerspiel. Entweder man hat Glück und die (ohnehin irgendwo vorhandenen) Sicherheitslücken werden nicht ausgenutzt, oder ein Hacker kommt irgendwo rein und verursacht einen Schaden.

Bei Wegwerf- und Experimentalcode denke ich grundsätzlich nicht über Sicherheit nach. Aber dieser Code wird dann auch nicht öffentlich zugänglich gemacht. Und ja, man spart dadurch eine Menge Arbeit.

Die Reaktion auf einen entdeckten Angriff bleibt dir überlassen.