3. Kommentar von Firma zu SSL Bug

Kommentar von Firma zu SSL Bug

  • ?

    Hallo!

    Hab letztens in der Zeitung folgende Anzeige gefunden:
    http://i57.tinypic.com/205zb46.jpg

    Was haltet ihr davon?
    Die rot markierten Bereiche finde ich doch etwas überheblich bzw. frech.

    Lasst mal Eure Meinung dazu hören!

    0
  • R

    Wie gut, dass sein Text nicht sicherheitskritisch ist. Denn dann kann ich ganz bequem darin suchen, wie das Ganze funktioniert (ich suche immer noch) und ob ich nicht einen Rechtschreib- oder gar Grammatikfehler finde (ich bin schon fündig geworden).

    viele grüße
    ralph

    0
  • C

    Also abgesehen davon dass der Artikel irgendwie ulkig formuliert ist*, hat er recht, der Fehler ist schon ziemlich traurig. Und bei einer Firma mit weniger Entwicklern, die uU auch noch haftet (<- das dürfte so ziemlich der wichtigste Punkt sein ;)), ist so ein Fehler vermutlich auch deutlich unwahrscheinlicher, da gibt's leider weniger schön zu reden. Dass man als Hacker bei OS den Sourcecode untersuchen kann ist allerdings Schwachsinnsargument, gerade solche Dinge wie buffer overflows kann man genau so gut durch RE herausfinden.

    "... mit teuren Tools überprüft, diese Tools prüfen so wie..."
    "...wo jeder der Hacken will..."
    RIP Deutsch.

    0
  • M

    Naja, mit Open Source ist es halt einfacher, Sicherheitslücken zu finden. Als der Source von Windows 2000 im Netz aufgetaucht ist, wurden schlagartig viele Sicherheitslücken gefunden.

    0
  • ?

    Ist das ein Aufsatz eines Siebtklässler?

    0
  • ?

    Haste den Beitrag zufälligerweise im Handelsblatt gelesen?
    Da habe ich ihn nämlich gesehen und mich fast unter den Tisch geworfen.
    Musste das auch wirklich zwei mal lesen bis ich gemerkt habe, dass das deren ernst ist.
    Ich fand es auch mehr als daneben aber was solls...Ich habe das Handelsblatt an dem Tag durch Zufall in die Finger bekommen aber wenn du dir mal die übliche Zielgruppe anguckst...Die glauben so einen Schrott. Und dummerweise sind da auch viele Unternehmer bzw. Geschäftsführer dabei die dann am nächsten Tag in ihre Würstchenbude kommen, von IT keine Ahnung haben und dann sagen "Hey ich habe da was tolles in der Zeitung gelesen. Ich glaube wir laden die Leute mal ein und bla bla bla"

    0
  • ?

    secondsun schrieb:

    Haste den Beitrag zufälligerweise im Handelsblatt gelesen?
    Da habe ich ihn nämlich gesehen und mich fast unter den Tisch geworfen.
    Musste das auch wirklich zwei mal lesen bis ich gemerkt habe, dass das deren ernst ist.
    Ich fand es auch mehr als daneben aber was solls...Ich habe das Handelsblatt an dem Tag durch Zufall in die Finger bekommen aber wenn du dir mal die übliche Zielgruppe anguckst...Die glauben so einen Schrott. Und dummerweise sind da auch viele Unternehmer bzw. Geschäftsführer dabei die dann am nächsten Tag in ihre Würstchenbude kommen, von IT keine Ahnung haben und dann sagen "Hey ich habe da was tolles in der Zeitung gelesen. Ich glaube wir laden die Leute mal ein und bla bla bla"

    habs in der FAZ gelesen.

    0
  • M

    Habs mir jetzt auch mal durchgelesen. Der Übergang zur Werbung für Hob Ssl ist schon ziemlich fließend. Aber das kennt wahrscheinlich keiner. Der Vorfall kommt ihnen natürlich ziemlich gelegen. Kein Mensch kennt dieses Hob SSL und weiß, wie sicher das wirklich ist. Aber durch den Zeitungsartikel könnten da jetzt tatsächlich einige drauf aufmerksam werden, er hats ja ziemlich überzeugend dargelegt.
    Find diesen Bug aber auch ziemlich traurig. Von einer Software, die so weit verbreitet und so sicherheitskritisch ist, hätte ich schon erwartet, dass da viel mehr Wert auf Qualität gelegt wird.

    0
  • T

    Mimimi ich bezahle zwar keinen Cent, erwarte aber perfekte Qualität. Ich hätte mich jederzeit informieren können wie das Projekt arbeitet. Ich hätte jederzeit mithelfen können, um es zu verbessern. Aber leider bin ich zu geizig und zu faul Mimimi.

    Wenn OpenSSL so schlecht ist, nehmt doch einfach die TLS-Lösung vom 12-jährigen Brandstifter! Ist ja nicht verboten das zu kaufen.

    0
  • M

    Ich weiß nicht, was du mit der Ausage bezweckst. Im Grunde ist es auch genau das, was der in dem Artikel gesagt hat. Viele haben eben diese Lösung genommen, ohne es sich genauer anzuschauen. Ich oder irgendwelche anderen Endanwender oder Otto-Normalprogrammierer können sicher nicht den Code von jeder Open Source Library untersuchen, die sie irgendwo direkt oder indirekt verwenden. Aber von Apache oder den Browserherstellern, wie Apple oder Google hätte ich das schon erwartet. Und die hätten sicher auch die Ressourcen, sich das etwas genauer anzuschauen.

    0
  • ?

    Der Bug wurde doch von einem Google-Mitarbeiter entdeckt? Außerdem nutzt Chrome/Chromium nur unter Android OpenSSL. Safari nutzt es auch nicht.

    0
  • ?

    und so einer hat's zum geschäftsführer gebracht?

    0
  • ?

    Also der Bug eine Längenangabe von Fremden ungeprüft zu übernehmen ist schon sehr dämlich, der Software Entwickler der das verbockt hat würde meiner Meinung nach besser damit fahren, wenn er behaupten würde, dass er dafür bezahlt wurde so eine Sicherheitslücke einzubauen, als zu sagen, dass es nur ein Versehen war.

    Denn zumindest ich würde jetzt an seiner Kompetenz und programmiertechnischen Fähigkeiten zweifeln, so schlimm ist der Bug und das mit dem Versehen möchte zumindest ich irgendwie nicht glauben.
    Fehler kommen vor, dass ist schon richtig, aber solche Kardinalfehler dürfen bei guten Programmierern gar nicht vorkommen. Das ist kein Fehler, denn man einfach mal so macht, dieser Fehler ist schwerwiegend.

    Das diesen Fehler auch von demjenigen, der den Code nochmal ansieht und commited, übersehen wurde entlastet den hauptverantwortlichen Entwickler allerdings etwas, gesetzt den Fall, dass sich dieser Commiter auch die Mühe gemacht hat, sich den Code anzusehen und dem Progger nicht einfach blind vertraut hat, was ich auch für denkbar halten würde, insbesondere wenn der schon länger für dieses Projekt entwickelt.

    PS:
    Sollte er den Bug bewusst eingebaut haben, dann kann es natürlich entsprechende vertragliche Vereinbarungen mit dem Auftraggeber geben, dass er das nie zugeben dürfte.

    0
  • ?

    Na, wem gehört diese Blog: http://blog.patricksauer.net/security/allgemein/unternehmer-klaus-brandstaetter-hob-gmbh-co-kg-beleidigt-in-der-faz-open-source-entwickler-von-openssl-sowie-opensource-im-allgemeinen/

    Ansonsten: Das ist peinlich für einen Geschäftsführer

    0
  • S

    Hihi, das einzige was da scheinbar von einem 17-Jährigen verfasst worden ist, ist dieser Artikel 🤡

    MfG SideWinder

    0
  • ?

    cooky451 schrieb:

    Also abgesehen davon dass der Artikel irgendwie ulkig formuliert ist*, hat er recht, der Fehler ist schon ziemlich traurig. Und bei einer Firma mit weniger Entwicklern, die uU auch noch haftet (<- das dürfte so ziemlich der wichtigste Punkt sein ;))

    Software? Produkthaftung? Hahahahaha, du bist gut. 😃

    Wird seit Ewigkeiten immer mal wieder von Sicherheitsleuten und auch Verbraucherschützern gefordert. Gibts aber nicht. Software genießt riesige Haftungsprivilegien, auf die andere Branchen neidisch sein können.

    0
  • C

    alman schrieb:

    Software? Produkthaftung? Hahahahaha, du bist gut. 😃

    Jo, das ist das Problem.^^

    0
  • ?

    cooky451 schrieb:

    alman schrieb:

    Software? Produkthaftung? Hahahahaha, du bist gut. 😃

    Jo, das ist das Problem.^^

    Das ist kein Problem, sondern eine Notwendigkeit.

    Ein Ingenieur kann physikalisch mit entsprechendem Design dafür sorgen, dass seine Maschine den Anforderungen entspricht und Menschen nicht gefährdet.
    Sollte trotz richtiger Konstruktion die Maschine dennoch brechen und Menschen gefährden, dann fällt das unter so Dinge wie Materialermüdung & CO und schon ist der Ingenieur fein raus.

    Ein Informatiker kann das nicht. Bei Software gibt es keine Materialermüdung.
    Und die Gefahr ist nur in engen Grenzen im Design berücksichtigtbar, fordert man mehr, dann benötigt man dafür eine Garantie durch mathematischen Beweis, dass die SW innerhalb ihres Bereichs arbeitet und niemanden dadurch gefährdet. Aber die Nutzung der mathematischen Methoden bei Software hat hier ihre eigenen Grenzen, so dass eine mathematisch bewiesene Laufzeiteigenschaft der Software kaum im notwendigen Maße garantiert werden kann. Und selbst wenn man dieses Werkzeug nutzen würde, würde dies dann noch alle Kosten sprengen, die kein Auftraggeber bereit wäre, zu bezahlen.

    0
  • ?

    Interessant zum Lesen:
    http://www.heise.de/security/news/foren/S-Re-Apropos-Anzeige-in-der-FAZ-vom-Samstag/forum-278478/msg-25116197/read/

    Das Inserat in der FAZ kostete anscheinend 66k€!!

    0
  • ?

    Inwieweit ist diese Anzeige eigentlich mit dem Wettbewerbsrecht vereinbar?

    Weiß das jemand?
    OpenSSL ist ja nicht kostenlos, sondern steht unter der GPL und kann somit kommerziell vertrieben werden, damit müssten die Kriterien bezüglich dem Wettbewerbsrecht meiner Meinung nach greifen.
    Darf man das eigene Produkt einfach so einem anderen Fremdprodukt gegenüberstellen und das Fremdprodukt schlecht reden?

    0
Anmelden zum Antworten