3. Warum nutzt c-plusplus.de nicht eine Forensoftware die in C++ geschrieben wurde?

Warum nutzt c-plusplus.de nicht eine Forensoftware die in C++ geschrieben wurde?

  • M

    Ethon schrieb:

    Beispiel für Exploits die einem Prozess mit minimalen Rechten Rootrechte verleihen?

    Im Ernst, privilege escalation Sicherheitslücken gibt es immer wieder. Beispiel:

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2094

    Aber abgesehen davon, wirds in PHP wahrscheinlich schon mehr Lücken als Betriebssystemen geben, vor allem in PHP Software wie phpBB, da wurden früher quasi jeden Tag neue Lücken entdeckt.

    0
  • ?

    Ethon schrieb:

    Beispiel für Exploits die einem Prozess mit minimalen Rechten Rootrechte verleihen?
    Und für die Java-VM gibt es keine Exploits?

    Natürlich gibt's die auch, aber das ist eine dritte Hürde die es zu überwinden gilt.

    C++:

    Serverprozess -> root Rechte

    Java:

    Serverprozess -> Java VM -> root Rechte

    Du brauchst also bei letzterem einen Fehler in deiner Forensoftware, einen weiteren Fehler in der Java VM nutzbar für Exploits und dann noch einen weiteren Bug für einen Exploit im OS.

    Bei C++ reicht es, wenn deine Forensoftware und das OS nen Bug haben.
    Falls nur wenige Leute deine Forensoftware anschauen, dann ist die Chance groß, dass darin für Hacker nutzbare Bugs drinstecken, das nächste was es nun noch zu tun gibt, wäre auf einen Exploit des OS zu warten und zu hoffen, dass das System nicht schnell genug gepatched wurde, oder eben einen Exploit im OS selbst zu finden.
    Dieses Szenario ist durchaus plausibel.

    3 Sicherheitsstufen, Forensoftwar, JavaVM UND noch das OS dazu, überwindest du dagegen nicht so einfach, da ist die Wahrscheinlichkeit doch eher gering.

    Bei PHP hast du ebenfalls noch den JITC/Interpreter dazwischen.

    0
  • ?

    Aber was, wenn die Java-VM einen allgemeinen Bug hat, der es ermöglicht Rootrechte zu bekommen? Dann bräuchtest du nicht mal einen Bug in der Foren-SW.

    0
  • E

    Was wenn der Forenserverprozess in einer Sandbox läuft? 🤡

    0
  • R

    Ethon schrieb:

    Was wenn der Forenserverprozess in einer Sandbox läuft? 🤡

    dann hat der admin ahnung und die sprach trolle keine luft mehr in den segeln.

    ach ne, warte, vermutlich ist das sandboxing auch in c(++) geschrieben.

    aber dann wiederrum, etwas ist nur so sicher wie das schwaechste glied und da java mit einer in c++ geschriebenen jvm laeuft... es kann garnicht sicherer sein als native c++ code 😮

    aber mal ehrlich, wieso schreibt der threadstarter nicht einfach selbst die foren software in c++?
    ich schreibe sowas nicht, weil es tod langweilig waere. 10% waere c++ worueber man nachdenken koennte und 90% dann stupides website zusammenbauen.
    das ist als ob man sich wundern wuerde weshalb nicht der chirurg auf der party alle tortenstuecke schneidet...

    0
  • ?

    ein forum wie das phpbb ist architekturell hochkomplex (ähnlich wie eine game engine). auf keinen fall langweilig, wenn man es gut machen will

    0
  • ?

    Ethon schrieb:

    Was wenn der Forenserverprozess in einer Sandbox läuft? 🤡

    Dann hast du mit Java immer noch eine zusätzliche Hürde, denn die Java Serversoftware kannst du ja auch in eine Sandbox und zusätzlich noch in eine Virtual Maschine stopfen.
    Das geht alles.

    0
  • ?

    hmmm.... schrieb:

    Aber was, wenn die Java-VM einen allgemeinen Bug hat, der es ermöglicht Rootrechte zu bekommen? Dann bräuchtest du nicht mal einen Bug in der Foren-SW.

    Das hängt dann aber vom Bug und der Forensoftware ab, denn hier ist die Frage, ob du diesen Bug überhaupt ausnutzen kannst.

    Mal angenommen der allgemein Bug steckt in der AWT Bibliothek, die Teil des ganzen Java Frameworks ist, dann bringt der Bug dir rechtlich wenig, wenn das Serverprogramm nur eine Konsolenanwendung ist und AWT gar nicht nutzt.

    0
  • ?

    rapso schrieb:

    aber dann wiederrum, etwas ist nur so sicher wie das schwaechste glied und da java mit einer in c++ geschriebenen jvm laeuft... es kann garnicht sicherer sein als native c++ code 😮

    Unfug, die Java VM selbst ist nur ein ganz kleiner Teil, also der Kern sozusagen, die restlichen Zusatzbibliotheken die Teil des JRE sind, sind abhängig davon ob sie überhaupt von der Java Anwendung benötigt werden und davon ist der größte Teil dann sowieso in Java selbst geschrieben.

    0
  • E

    C++ = Insecure by Design schrieb:

    Ethon schrieb:

    Was wenn der Forenserverprozess in einer Sandbox läuft? 🤡

    Dann hast du mit Java immer noch eine zusätzliche Hürde, denn die Java Serversoftware kannst du ja auch in eine Sandbox und zusätzlich noch in eine Virtual Maschine stopfen.
    Das geht alles.

    Was ist wenn die Sandbox in einer Sandbox läuft die in einer Sandbox läuft die in Python von einem Schamanen um Mitternacht nach dem dritten Krähen des Rabens geschrieben wurde?

    0
  • ?

    Ethon schrieb:

    C++ = Insecure by Design schrieb:

    Ethon schrieb:

    Was wenn der Forenserverprozess in einer Sandbox läuft? 🤡

    Dann hast du mit Java immer noch eine zusätzliche Hürde, denn die Java Serversoftware kannst du ja auch in eine Sandbox und zusätzlich noch in eine Virtual Maschine stopfen.
    Das geht alles.

    Was ist wenn die Sandbox in einer Sandbox läuft die in einer Sandbox läuft die in Python von einem Schamanen um Mitternacht nach dem dritten Krähen des Rabens geschrieben wurde?

    Dann explodiert 3 Tage vor dem Ende der Welt dein Rechner.

    Insofern kannst du die Forensoftware auch als Kristallkugel nutzen und hast dann etwa noch < 3 Tage Zeit um vom Planeten zu fliehen.

    0
Anmelden zum Antworten