ein Komittee (durchaus kompetent, die amerikanischen Lauscher und Sicherer sind auch dabei) haben die "25 Schlimmsten Programmierfehler" zusammengetragen:
Es sind nur die "25 gefaehrlichsten Programmierfehler", die zu sehr groben Sicherheitsfehlern fuehren.
Wer Programme schreibt, die "externe Inputs" verarbeiten, sollte unbedingt einen Blick hineinwerfen.
Wer Programme schreibt, bei denen es keine Sicherheitsprobleme geben kann - so was soll wirklich vorkommen 8-) kann es lassen.
Insgesamt finde ich die Beschreibungen ala
http://cwe.mitre.org/top25/#CWE-79
aber nicht berauschend, wenn man bedenkt, dass man damit im Endeffekt wirklich Programmierer ausbilden will. Zumindest wird ja die Ausbildung der bisher existierenden Programmierer bemaengelt. Alles sehr theoretisch, so dass ich mich gefragt habe, ob man das auch versteht, wenn man die Fehler nicht schon vorher kannte 8-(
Wenn da unter
http://cwe.mitre.org/top25/#CWE-79
| "CWE-352: Cross-Site Request Forgery (CSRF)" ... | "Prevention and Mitigations" ... | "Architecture and Design"
steht:
| Use the "double-submitted cookie" method as described by Felten and Zeller.
dann denke ich, dass es sich fuer den durchschnittlichen Codebastler lohnen wird, auf eine spaetere Reinkarnation zu warten, bei es dem z.B. sowas wie kommentierte Beispiele zu sehen gibt.
Natuerlich kann sich das ein Wissenschaftler alles zusammenrecherchieren. Die Frage ist nur, wie weit Joe Coder dabei kommt...
Noch habe ich den Eindruck, dass es sich bei dem Ganzen um ein Dokument von Wissenschaftlern fuer Wissenschaftlern handelt. Die Securityprobleme unserer Zeit wird man damit noch nicht loesen 8-(
so long MUFTI