Die 19 Todsünden der Software-Security

Die Entwicklung von sicheren und zuverlässigen Software-Applikationen ist kein Kinderspiel, verdeutlichte John Viega auf der diesjährigen IT-Defense. Mittlerweile hat der Experte seine "schwarze Liste" der haarsträubendsten Security-Defizite auf neunzehn kritische Punkte erweitert.

John Viega wird seit Jahren nicht müde, für ein höheres Sicherheitsbewusstsein in der Softwareentwicklung zu werben. Seiner eigenen Karriere hat dies dem Autor mehrerer Bücher durchaus nicht geschadet. Immerhin präsentierte er sich auf der diesjährigen IT-Defense als soeben frisch ernannter Chief Security Architekt beim amerikanischen Sicherheitsanbieter McAfee.

John Viega hat Jet-Lag, und muss auch gleich wieder zurück nach Amerika, um seinen neuen Job anzutreten. Ein sinnbildliches Problem mit der Zeitverschiebung beklagen auch die Entwickler der Softwarehersteller. Sie sind nicht nur bei Microsoft-Produkten durch die steigende Komplexität überfordert, die richtige Rechtekonfiguration für ihre Produkte festzulegen und die Tragweite der resultierenden Rechte abzusehen.

John Viega fällt es deshalb trotz des strapaziösen Fluges nicht schwer, gleich tief ins Thema einzutauchen, denn in den letzten Jahren hat sich seine Liste der Todsünden in der Softwarentwicklung permanent erweitert und umfasst mittlerweile neunzehn Punkte, präsentiert der Experte die wenig erfreuliche Bilanz in seinem neuen Buch „19 Deadly Sins of Software Security – Programming Flaws and How to Fix Them“.

Themenseiten: IT-Business, Security-Analysen, Technologien

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Die 19 Todsünden der Software-Security

Kommentar hinzufügen
  • Am 3. Mai 2006 um 6:19 von iNsuRRecTiON

    IT-Sicherheit und Fraunhofer !=seriös ! :(
    "Wer Klarheit über die Qualität seiner Software haben möchte, kann sie im Testlabor IT-Sicherheit des Fraunhofer-Instituts für Sichere Informationstechnologie (www.sit.fraunhofer.de) bekommen. Die Experten untersuchen herstellerneutral und produktunabhängig Entwürfe, Prototypen und Produkte in allen Entwicklungsstadien auf Sicherheitslücken."

    Hey,

    dem würde ich allerdings nicht vertrauen, denn diese haben mit ihrem Sicherheitstests für Verschlüsselungssoftware, welche sogar als Referenz angegeben ist, sich einen groben Fehler geleistet und sich bis heute weder dazu geäußert noch irgendetwas zugegeben..!

    Um genauer zu werden ging es um die Full Volume bzw. Komplettverschlüsselungsoftware CompuSec von ce-infosys. (http://www.ce-infosys.com )

    Diese wird als Freeware angeboten und verschlüsselt die komplette Festplatte inklusive dem Betriebssystem und Auslagerungsdatei, etc.

    Angeblich sollte/soll diese Software den Masterkey, laut der Fraunhofer Analyse bzw. Ergebnis, frei im Klartext lesbar in der Registry ablegen..

    Was jedoch überhaupt nicht der Wahrheit entspricht.
    Es wird lediglich ein Hash dort abgelegt, welcher aber weder im Klartext lesbar ist noch Rückschlüsse auf den Masterkey für die Verschlüssel- bzw. Entschlüsselung zulässt!

    Da sieht man die "Qualität" der Fraunhofer Analyse..

    Wer sich trotzdem auf sowas unseriöses verlassen möchte, der hat es nicht anders verdient..!

    MfG
    CYA

    iNsuRRecTiON

    • Am 28. Juli 2006 um 21:55 von Gulliver

      AW: IT-Sicherheit und Fraunhofer !=seriös ! :(
      Stehst Du auf deren Gehaltsliste? Wir konnten die entsprechenden PWs jedenfalls im KLARTEXT auslesen (nix Hash!).
      Soviel dazu…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *