Patentlösungen und -rezepte gibt es keine, das weiß auch McAfees frisch ernannter Chief Security Architekt. Zunächst einmal geht es um Schadensbegrenzung: Mangelndes Training sei nicht das Problem, eher ginge es darum, zu zeigen, was Programmierer alles nicht tun sollten, statt alle Zusammenhänge verstehen zu wollen. „Der Programmierer sollte nur zu 80 Prozent für den Entwurfsprozess verantwortlich sein.“ Viega macht dies am praktischen Beispiel der Kryptographie deutlich. Die meisten Leute verstünden zwar, was eine SSL-Verschlüsselung (Secure Socket Layer) bedeute und wie sie funktioniere. Nur die wenigsten Entwickler wüssten aber die Funktionen im Unternehmen auch richtig zu implementieren.
Die durchaus provokative Kernbotschaft der „19 Todsünden“ lautet, den Produktentwicklern einen reduzierten Part und damit eine geringere Verantwortung im Unternehmen zu geben. Viega rät den Firmen ab, ihr Heil in unzähligen, rein bürokratisch handhabbaren, Standard-Checklisten zu suchen. Haben wir SSL oder nicht? Diese elementare Frage so einfach abzuhaken, sei kaum zielführend, um den Grad der Softwaresicherheit zu erhöhen.
Neueste Kommentare
2 Kommentare zu Die 19 Todsünden der Software-Security
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
IT-Sicherheit und Fraunhofer !=seriös ! :(
"Wer Klarheit über die Qualität seiner Software haben möchte, kann sie im Testlabor IT-Sicherheit des Fraunhofer-Instituts für Sichere Informationstechnologie (www.sit.fraunhofer.de) bekommen. Die Experten untersuchen herstellerneutral und produktunabhängig Entwürfe, Prototypen und Produkte in allen Entwicklungsstadien auf Sicherheitslücken."
Hey,
dem würde ich allerdings nicht vertrauen, denn diese haben mit ihrem Sicherheitstests für Verschlüsselungssoftware, welche sogar als Referenz angegeben ist, sich einen groben Fehler geleistet und sich bis heute weder dazu geäußert noch irgendetwas zugegeben..!
Um genauer zu werden ging es um die Full Volume bzw. Komplettverschlüsselungsoftware CompuSec von ce-infosys. (http://www.ce-infosys.com )
Diese wird als Freeware angeboten und verschlüsselt die komplette Festplatte inklusive dem Betriebssystem und Auslagerungsdatei, etc.
Angeblich sollte/soll diese Software den Masterkey, laut der Fraunhofer Analyse bzw. Ergebnis, frei im Klartext lesbar in der Registry ablegen..
Was jedoch überhaupt nicht der Wahrheit entspricht.
Es wird lediglich ein Hash dort abgelegt, welcher aber weder im Klartext lesbar ist noch Rückschlüsse auf den Masterkey für die Verschlüssel- bzw. Entschlüsselung zulässt!
Da sieht man die "Qualität" der Fraunhofer Analyse..
Wer sich trotzdem auf sowas unseriöses verlassen möchte, der hat es nicht anders verdient..!
MfG
CYA
iNsuRRecTiON
AW: IT-Sicherheit und Fraunhofer !=seriös ! :(
Stehst Du auf deren Gehaltsliste? Wir konnten die entsprechenden PWs jedenfalls im KLARTEXT auslesen (nix Hash!).
Soviel dazu…