Hallo zusammen, ein Komittee (durchaus kompetent, die amerikanischen Lauscher und Sicherer sind auch dabei) haben die "25 Schlimmsten Programmierfehler" zusammengetragen:
http://www.sans.org/top25errors
Wer Programme schreibt, die "externe Inputs" verarbeiten, sollte unbedingt einen Blick hineinwerfen.
Viele Gruesse
Frabj
Errata:
Frank :-)
2009/1/13 Frank Gerlach frankgerlach@gmail.com:
Hallo zusammen, ein Komittee (durchaus kompetent, die amerikanischen Lauscher und Sicherer sind auch dabei) haben die "25 Schlimmsten Programmierfehler" zusammengetragen:
http://www.sans.org/top25errors
Wer Programme schreibt, die "externe Inputs" verarbeiten, sollte unbedingt einen Blick hineinwerfen.
Viele Gruesse
Frabj
-- Dipl-Ing(BA) Frank Gerlach Gäufelden Baden-Württemberg Germany
ein Komittee (durchaus kompetent, die amerikanischen Lauscher und Sicherer sind auch dabei) haben die "25 Schlimmsten Programmierfehler" zusammengetragen:
Es sind nur die "25 gefaehrlichsten Programmierfehler", die zu sehr groben Sicherheitsfehlern fuehren.
Wer Programme schreibt, die "externe Inputs" verarbeiten, sollte unbedingt einen Blick hineinwerfen.
Wer Programme schreibt, bei denen es keine Sicherheitsprobleme geben kann - so was soll wirklich vorkommen 8-) kann es lassen.
Insgesamt finde ich die Beschreibungen ala
http://cwe.mitre.org/top25/#CWE-79
aber nicht berauschend, wenn man bedenkt, dass man damit im Endeffekt wirklich Programmierer ausbilden will. Zumindest wird ja die Ausbildung der bisher existierenden Programmierer bemaengelt. Alles sehr theoretisch, so dass ich mich gefragt habe, ob man das auch versteht, wenn man die Fehler nicht schon vorher kannte 8-(
Wenn da unter
http://cwe.mitre.org/top25/#CWE-79
| "CWE-352: Cross-Site Request Forgery (CSRF)" ... | "Prevention and Mitigations" ... | "Architecture and Design"
steht:
| Use the "double-submitted cookie" method as described by Felten and Zeller.
dann denke ich, dass es sich fuer den durchschnittlichen Codebastler lohnen wird, auf eine spaetere Reinkarnation zu warten, bei es dem z.B. sowas wie kommentierte Beispiele zu sehen gibt.
Natuerlich kann sich das ein Wissenschaftler alles zusammenrecherchieren. Die Frage ist nur, wie weit Joe Coder dabei kommt...
Noch habe ich den Eindruck, dass es sich bei dem Ganzen um ein Dokument von Wissenschaftlern fuer Wissenschaftlern handelt. Die Securityprobleme unserer Zeit wird man damit noch nicht loesen 8-(
so long MUFTI
On Tue, January 13, 2009 18:10, Joerg Scheurich aka MUFTI wrote:
Wer Programme schreibt, die "externe Inputs" verarbeiten, sollte unbedingt einen Blick hineinwerfen.
Wer Programme schreibt, bei denen es keine Sicherheitsprobleme geben kann
- so was soll wirklich vorkommen 8-) kann es lassen.
Nenne mal bitte Beispiele. Ausser "Hello World" will mir einfach nix einfallen.
Insgesamt finde ich die Beschreibungen ala
http://cwe.mitre.org/top25/#CWE-79
aber nicht berauschend, wenn man bedenkt, dass man damit im Endeffekt wirklich Programmierer ausbilden will. Zumindest wird ja die Ausbildung der bisher existierenden Programmierer bemaengelt. Alles sehr theoretisch, so dass ich mich gefragt habe, ob man das auch versteht, wenn man die Fehler nicht schon vorher kannte 8-(
Das ist ja auch nicht zum Selbststudium, sondern als Anleitung fuer Professoren und Trainer gedacht. Ansonsten haette man bereits ueber diese 25 Fehler ein ganzes Buch schreiben koennen.
Konrad
On Tue, Jan 13, 2009 at 04:01:07PM +0100, Frank Gerlach wrote:
jo, das CWE gibts's schon ne ganze Weile
siehe auch: National Vulnerability Database http://nvd.nist.gov/
lug-dd@mailman.schlittermann.de