Beitrag von MichaelB (157 Beiträge) am Dienstag, 7.Januar.2003, 14:46.
@CB, Datensicherheit
Hallo Christoph,
im Nachhinein noch ein gutes neues Jahr und gleichzeitig eine etwas schwierige Frage:
Einer meiner Kunden fragte mich neulich wie es denn mit der Datensicherheit bei Baseportal/netdirekt aussehe. Meine Antwort war ein ausgedehntes ähhhhh... .
Daher die gleiche frage nun an Dich! was läßt sich denn darauf einigermaßen fundiert antworten?
(Mir ist schon klar daß prinzipiell alles gehackt werden kann).
Vielen Dank
Michael
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Dienstag, 7.Januar.2003, 14:59.
Re: @CB, Datensicherheit
Mmh, ja, is tatsächlich nich so einfach zu beantworten, sogar in Open-Source-Software wie Apache gibts Sicherheitslücken... Was mir ein recht gutes Gefühl gibt ist: Letztes Jahr hab ich hier im Forum mal den Satz fallen lassen "Wenn die Zugriffsrechte entsprechend gesetzt sind, kommt auch keiner an die Daten ran..." und daraufhin hat sich Andreas Jurenda herausgefodert gefühlt, baseportal zu "hacken". Er hat auch einige Lücken gefunden (die ich natürlich sofort geschlossen habe) und von Lücke zu Lücke wurde es komplizierter und theoretischer. Ich muss dazusagen, dass Andreas Jurenda nach dem was ich gesehen hab, wirklich ein Fuchs ist, der hat da mit Perl- & baseportal-Internas rumjongliert und was mich völlig vom Stuhl gehauen hat war, dass er letztendlich sogar ein Sicherheitsloch in einem Standard-Perl-Modul gefunden hat (Hat er den Perl-Leuten gemeldet und ist in der neuesten Version gestopft). Ich hab lange und viel Erklärung seinerseits gebraucht, dieses Sicherheitsloch nachzuvollziehen - und er hat das alleine rausgefunden!
Soll heissen: baseportal ist, wenn man so will, einer Sicherheitsprüfung von Andreas Jurenda unterzogen worden ;-)
Da man bei baseportal aber selbst programmieren kann, sind Fehler in eigenen Programmen natürlich nicht auszuschliessen!
Antworten
Beitrag von Friesecke (245 Beiträge) am Dienstag, 7.Januar.2003, 16:40.
Re: @CB, Datensicherheit
Hallo MichaelB,
Datensicherheit erhälst Du nur, wenn Du die Problemzonen von baseportal kennst und die entsprechenden "workarounds" selbst programmiert, da man bei baseportal Datenverlust nicht als Fehler betrachtet. Ist nicht von mir, sondern von Jurenda, aber trotzdem richtig.
s.auch "http://baseportal.de/cgi-bin/baseportal.pl?htx=/baseportal/forum&wcheck=1&Pos=6704.5"
oder auch Ausführungen Bergmann von heute zur Nicht-Aufwärtskompatibilität. Da kauft sich Dein Kunde ein Update von baseportal, und dann steht er im dunkeln.
Also braucht Dein Kunde immer Dich. Du mußt Dich nur aus der Haftung raushalten !
Gruß
Fri
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Dienstag, 7.Januar.2003, 17:49.
Re: @CB, Datensicherheit
Ich glaube er meinte mit Datensicherheit was anderes, nämlich dass unbefugte Leute an Daten kommen.
Der Forumsbeitrag auf den Du Dich beziehst hat einen anderen Hintergrund als Du implizierst. Es geht hier nicht darum dass baseportal an diesem Punkt einen Fehler hat, der nicht verbessert würde, sondern, wie ja in dem Beitrag steht, dass es keine wirkliche Lösung bei diesem Problem gibt. Ums genauer zu erklären: Würden die Felder, die bei "formfields" nicht angegeben werden, nicht gelöscht, könnte man beim Ändern von Feldern diese garnicht mehr leer machen. Gibt verschiedene Gründe, die dazu führen, hat auch was damit zu tun wie Daten per CGI geliefert werden...
Zur Nicht-Kompatibilität: Das ist bei fast jeder Software so. Wer eine neue Version installiert muss immer mit Änderungen rechnen. Der Grund dafür ist, dass man unmöglich von der ersten Version an, alles richtig designen kann (dann bräuchte man gar keine weiteren Versionen mehr). Die Frage ist auch, ob man als schlecht erkannte Dinge die nächsten 100 Jahre als Ballast rumschleppen sollte...
Antworten
Beitrag von Friesecke (245 Beiträge) am Dienstag, 7.Januar.2003, 18:55.
Re: @CB, Datensicherheit
Kann sein, daß der Kunde Zugriff durch Fremde meinte.
Kann sein, daß er Sicherheit im Sinne sicher meinte.
Aber Du selbst hast doch in Deiner Antwort darauf hingewiesen, daß durch Programmierung der Anwender Fehler entstehen können. Stimmt. Oder durch Programmierung der Anwender werden die Fehler von baseportal eliminiert.
Krieg das nicht in falschen Hals : ich will nichts von euch. Die Problemzonen kenn ich, so weit ich das brauch. Ich komm zurecht.
Aber der Datenverlust bei formfields ist kein Kavaliersdelikt. Ist Dir eigentlich klar, daß damit komplette Anwendungen so zerstört werden können, daß die Anwendung irreparabel ist ? Und hast Du Dir mal überlegt, was Du einem Referenzkunden wie dem Bundesrat, dem WEKA-Verlag oder der Siemens AG dann sagst ? Das hängt auch miit cgi zusammen ? Dürfte wohl nicht ganz ausreichend sein. Und was sagst Du, wenn die erfahren, daß der Bug seit mind. 2 Jahren im Forum gemeldet wird und nicht bereinigt wird ? Was sagst Du, wenn die auf grobe Fahrlässigkeit ausgehen ?
Andere Software hat auch immer neue Funktionen, ist aber aufwärtskompatibel. Das ist nicht dasselbe wie Fehler über Jahre mitschleppen.
Noch mal : von mir droht keine Gefahr. Aber prüf doch mal, wie groß euer Risiko ist. Nicht bei Hobbyanwendern, aber bei Firmen ? Ich wäre da nicht so leichtfertig.
Und Du hast doch schon eine Antwort von Beetle zum Thema nicht aufwärtskompatibel.
Und mein Hinweis ist doch nicht die einzige Stelle.
Schau auch mal bei "http://baseportal.de/cgi-bin/baseportal.pl?htx=/baseportal/forum&wcheck=1&Pos=6749"
Und es gibt weitere. In der Beschreibung der neuen Funktionen habe ich nicht deren Beseitigung gefunden. Habe das aber auch nur überflogen.
Gruß
Fri
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Dienstag, 7.Januar.2003, 19:31.
Re: @CB, Datensicherheit
> Kann sein, daß der Kunde Zugriff durch Fremde meinte.
Letzter Satz war ja "(Mir ist schon klar daß prinzipiell alles gehackt werden kann)." deshalb denke ich schon dass er Zugriffssicherheit meinte...
> Aber Du selbst hast doch in Deiner Antwort darauf hingewiesen, daß durch Programmierung der Anwender Fehler entstehen können. Stimmt. Oder durch Programmierung der Anwender werden die Fehler von baseportal eliminiert.
Ok. Das ist das Schöne an baseportal, dass es so flexibel ist ;-)
Rest: Verstehe schon was Du meinst, glaube aber dass sich allgemein durchgesetzt hat, dass komplexe Software Fehler hat und deshalb grobe Fahrlässigkeit wäre, kein Backup zu machen. Wie geschrieben, beim formfield gibt es keine schönere Lösung, würde man an dem Punkt was ändern, könnte man Felder garnicht mehr leeren (Hab da wirklich, wirklich ne Menge drüber nachgedacht). Insofern sehe ich das nicht als Bug, sondern als Entscheidung für das kleinere Übel.
> Andere Software hat auch immer neue Funktionen, ist aber aufwärtskompatibel. Das ist nicht dasselbe wie Fehler über Jahre mitschleppen.
Es geht ja nicht um neue Funktionen, sondern um das Verbessern der alten. Bei Design-Fehlern von bestehenden Funktionen hat man prinzipiell zwei Möglichkeiten: Man ändert das Design (womit alte Anwendungen nicht mehr laufen) oder man baut was drumrum (womit man Ballast rumschleppt). Ich kenne beides von aller möglichen Software. Beispiel für ersteres: "bla@blubb" ist unter Perl 4 ok, unter Perl 5 gibt das eine Fehlermeldung (wenn @blubb nicht definiert ist).
Ansonsten: Natürlich werden in der neuen Version alle bekannten Fehler so gut es geht verbessert, das kommt aber nach dem Programmieren der neuen Features, weil die selbst genügend Fehler mitbringen... ;-)
Antworten
Beitrag von Friesecke (245 Beiträge) am Dienstag, 7.Januar.2003, 20:16.
Re: @CB, Datensicherheit
Verstehe schon ... Leider eben nicht. Ich hab nicht ohne Grund gesagt, irreversibel zerstört. Dein Backup kannst Du Dir dann schenken. Du kannst Dir das nicht vorstellen. o.k. Lassen wir es dabei. Es sollte nur ne Hilfe sein.
... könnte man Felder gar nicht mehr leeren ?
der Systemverwalter kann das auf verschiedene Art, der
Nutzer nicht. Aber es gibt eben Felder, die er auf gar keinen Fall leer machen darf. Ja, selbst der Satz darf nicht gelöscht werden.
Ansonsten versteh ich Dich so ??? die bekannten Fehler werden in die neue Version übernommen und erst anschließend bereinigt ? Damit macht ihr euch das Leben doch selber schwer. Und ich stell dann auch die Frage, ob ihr gar nicht wollt, daß man die neue Version kauft ?
Aber dies war die letzte Antwort zum Thema. Will keinen Streit. Müßt ihr schon selbst wissen.
Gruß
Fri
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Dienstag, 7.Januar.2003, 21:01.
Re: @CB, Datensicherheit
Antworten
