Security auslassen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Security auslassen

    Hallo zusammen!

    Die folgende Frage wäre jetzt eher so eine, welche ich in einem Chat stellen würde, weil sie net spezifisch was mit Code zu tun hat.. Drum hab ichs net bei PHP Security..

    Meine Frage:
    Darf man absichtlich Security bei PHP auslassen? So z.B. bei:
    - Aufträgen, wo Geld im Spiel ist, aber nichts wegen Security erwähnt wurde.
    - kleine Communityprojekte
    - sonstige Situationen?

    Teils ist es ja doch ein rechtes Stück Arbeit. Wenn man Quoten, IP-Adresse speichern, Hashes, Softwarepatches, etc.. auslassen kann, wäre das schon eine rechte Erleichterung.. Vorallem bei Zeitdruck..

    Ist sowas unangebracht oder kommt es auf die Situation draufan? Muss ich ein schlechtes Gewissen haben?

    Danke im Voraus für die Beiträge und eure Meinungen

    Gruss
    Onyx

  • #2
    also sobald geld im spiel ist wird ja auch der webseiten betrieber was davon bekommen .. und dafür sollte man sich auch die zeit nehmen für sicherheit zu sorgen.

    wäre ja schon blöd wenn dann wegen der webseite arge probleme auftreten ... wie abbuchungen ohne grund etc

    communityprojekte ... je nach dem ... clan-scripte werden in der regel einmal erstellt .. dann vllt mal hin und wieder eine neue funktion dazu .. fertig.
    Gruß
    Uzu

    private Homepage

    Kommentar


    • #3
      Beabsichtigtes auslassen ist Fahrlässigkeit und wird in jedem Softwarevertrag beklauselt.

      Aber allein auf die Idee zu kommen so zu arbeiten ist peinlich.
      [FONT="Helvetica"]twitter.com/unset[/FONT]

      Shitstorm Podcast – Wöchentliches Auskotzen

      Kommentar


      • #4
        Aber allein auf die Idee zu kommen so zu arbeiten ist peinlich.
        Aber echt. Sorry, aber das ist die saublödeste Frage, die mir seit langem untergekommen ist. Da fehlen mir die Worte.

        Beabsichtigtes auslassen ist Fahrlässigkeit und wird in jedem Softwarevertrag beklauselt.
        Das ist auch ohne Klausel und ohne Vertrag Fahrlässigkeit.
        Zuletzt geändert von pekka; 24.06.2008, 15:25.

        Kommentar


        • #5
          Was soll denn die Empörung

          Wie's z.B. UzumakiNaruto geschrieben hat:
          Ein Clan will möglichst bald eine Homepage, sie fragen mich ob ich das nicht übernehmen könnte, ich programmiere ein bisschen was und sichere nicht gross was ab. Sagen wir der Clan besteht aus 7-8 Leuten.
          Dann find ich die Überlegung überhaupt net daneben, ein bissl was auszulassen!

          Dass ihr bei
          Aufträgen, wo Geld im Spiel ist, aber nichts wegen Security erwähnt wurde
          den Kopf schüttelt versteh ich ja, aber bei so Kleinprojekten?

          Ich hab net Unmengen an Zeit, und Zeit ist Geld meine Lieben

          EDIT: Find ich immer toll wenn Posts die Gemüter bewegen ^^

          Kommentar


          • #6
            so, ich will auch mal meinen Senf dazu abgeben


            Also man sollte eine Grundsicherheit immer in allem was man macht drin haben, das gilt auch für clan-scripte...... stell dir mal vor du lässt eine Lücke, wo man etwas SQL Injecten könnte, da es ja "nur" für einen Clan ist gibt es keine Backups und die Datenbank ist weg

            z.B. bei generellem IP-loggen, was du ja auch aufgeführt hast, sieht das natürlich schon ganz anders aus. So etwas würde ich auch nur einbauen, wenn es gefordert ist.
            signed oder unsigned... das ist hier die Frage

            Kommentar


            • #7
              Wenn du dir der Risiken unsicherer Software nicht bewusst bist, dann verkaufe deine Programmierdienste nicht! Es gibt eine ganze Reihe von Programmen, die eine Seite auf beliebte Anfängerfehler hin testen, und ggf. über gefundene Lücken einbrechen können. Eine so platzierte Shell kann schnell zum finanziellen Tod des Serverbetreibers werden. Ein bischen Spam hier, ein paar Kinder********************s da, und Ratz-Fatz hagelt es Abmahnungen und Anzeigen. Und das nur, weil du die schnelle Mark machen wolltest!

              Was soll denn die Empörung fragst du da noch?
              [FONT="Helvetica"]twitter.com/unset[/FONT]

              Shitstorm Podcast – Wöchentliches Auskotzen

              Kommentar


              • #8
                Absolut unfassbar. Informiere dich mal was über Sicherheitslücken in Web-Programmen alles möglich ist.

                Warum wollen eigentlich alle mit jedem Scheiß sofort Geld machen? Clanwebsite... Wenn ich das schon höre!

                Kommentar


                • #9
                  Also den Kommentar fand ich jetzt gänzlich unproduktiv oO
                  1. Woraus schliesst du, ich hätte keine Ahnung was Sicherheitsrisiken anbelangt?
                  und 2. die Clanwebsite wäre natürlich zum gratis machen, da wäre kein Geld im Spiel (siehe oben).

                  Gruss
                  Onyx

                  Kommentar


                  • #10
                    WTF? Wieso bist du mit einem Projekt schneller fertig, wenn du auf Sicherheit verzichtest?! Kannst du mal ein Beispiel geben?

                    Die meisten Dinge, auf die es zu achten gilt, sind einem doch so in Fleisch und Blut übergegangen, dass man sich schon konzentrieren müßte, um es bewußt anders, nämlich falsch/unsicher zu machen. Ist wie mit dem Blinken beim Autofahren. Schon mal versucht, das wegzulassen?

                    Übrigens hat Logging nichts mit Sicherheit zu tun. Logs helfen dir nach einem Vorfall, können ihn aber nicht verhindern.
                    Botsperren erhöhen ebenfalls nicht die Sicherheit einer Seite. Sie schützen nur vor automatisiertem Müllabladen. Die Betonung liegt hier auf automatisiert. Inhaltlichen Müll kann nämlich auch ein normaler User produzieren. Gefährlich ist das aus technischer Sicht nicht.

                    Logging und Captchas sind Features und als solche würde ich sie ohne explizite Anforderung auch nicht einbauen. Allerdings verstehe ich es als meine Aufgabe, den Kunden schon bei der Konzeption darauf hinzuweisen, wie sinnvoll diese Features sind.
                    Zuletzt geändert von onemorenerd; 24.06.2008, 17:17.

                    Kommentar


                    • #11
                      Original geschrieben von onemorenerd
                      Ist wie mit dem Blinken beim Autofahren. Schon mal versucht, das wegzulassen?
                      Also das probier ich nachher mal aus
                      signed oder unsigned... das ist hier die Frage

                      Kommentar


                      • #12
                        Original geschrieben von case
                        Also das probier ich nachher mal aus
                        War natürlich nur ein Beispiel. Wahrscheinlich kann man es tatsächlich unterdrücken. Aber ansonsten ist es eine gute Analogie. Ohne Blinken ist einfach gefährlicher, verstößt gegen die StVO, es erlischt der Versicherungsschutz und man ist keine Sekunde eher am Ziel.

                        Kommentar


                        • #13
                          Ob Clanwebsite für Umme oder bezahltes Projekt: Es gibt Dinge, die gehören dazu, und darüber nachzudenken, diese wegzulassen, ist mehr als idiotisch - so, als würde ein Maurer für ein gering oder gar nicht bezahltes Projekt Mörtel verwenden, der nach 14 Tagen brüchig wird. Dazu gehören z.B. das Escapen von Benutzereingaben, das Vorverarbeiten von Request-Variablen bevor diese z.B. zum Includen von Dateien benutzt werden, und sonstige dem gesunden Menschenverstand entspringende grundlegende Sicherheitsüberlegungen. Wer diese Dinge wegläßt, um schneller fertigzuwerden, ist ein Pfuscher.

                          Dann gibt es, wie onemorenerd schon sagt, Features wie Captchas, Logging und dergleichen. Oder hochgradige Sicherheitsvorkehrungen wie PHPIDS, Hardened PHP und so weiter. Während sicherlich allesamt zu empfehlen, sind das Dinge, die man nicht in jedem Projekt umsetzen kann und auch nicht muß.

                          Meine 2 Cents.

                          Kommentar


                          • #14
                            jetzt will ich auch mal meinen senf dazu geben!

                            in meiner alten agentur gab es kunden, die wegen jeder minute programmierarbeit rumgefeilscht haben! die wollten wirklich nur quick-and-dirty, hopplahopp und kosten durfte es sowieso nichts. da hab ich denen gesagt, dass ich da mit uraltem code und copy&paste etwas in der geforderten zeit zusammenhauen kann, auch wenn die sicherheitslücken immens sind. aber das hat denen gefallen. sicherheit spielte keine rolle, wenn es etwas kostete.

                            daher: wer nicht bereit ist, für sicherheit und sauberes programmieren zu bezahlen, bekommt auch keine!

                            ansonsten würde ich aber sagen, dass man gerade bei privaten projekten, die für lau sind, sich das thema sicherheit sehr gut antrainieren kann. also sauber programmieren und alle lücken stopfen. allerdings müssen die clan-fuzzis dann auch bereit sein, sich ein wenig zu gedulden. denn wenn es schnell gehen soll, dann halt ohne sicherheit.

                            gruß
                            peter
                            Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
                            Meine Seite

                            Kommentar


                            • #15
                              OffTopic:
                              Muss ja ein toller Arbeitgeber gewesen sein.
                              No offense.

                              Dein Arbeitgeber hat sich sicherlich von allen Rechtsansprüchen, die aus Sicherheitsmängeln entstehen, vertraglich befreit. Wenn er auf seinen Ruf bedacht war, hat er außerdem auf einer Klausel bestanden, die vom Kunden im Schadensfall Stillschweigen fordert oder zumindest die explizite Angabe, dass er diesen Sicherheitsmangel so beauftragt hat.

                              Es ist ein großer Unterschied zwischen eigenmächtigem "Security auslassen" und "Sicherheitsmängel wurden beauftragt".

                              Wo ich grad bei Vertrag und so bin: Pekka hat Recht. Auch ohne Vertrag und Geld bist du wahrscheinlich (bin kein Anwalt) für eine gewisse Grundsicherheit verantwortlich. Alles andere wäre, um mal wieder eine Analogie zu verwenden, so, als ob ich dir ein Geschenk mache, von dem ich genau weiß, dass es beim Gebrauch explodiert.
                              Zuletzt geändert von onemorenerd; 24.06.2008, 19:58.

                              Kommentar

                              Lädt...
                              X