Verwirrender Artikel

[_toom_]

Ich habe folgenden Artikel gelesen:

http://www.computerwoche.de/knowledge_center/security/1869500/

Ich frage mich wie glaubwürdig das ist?
Im Artikel wird die Gefahr durch SQL Injection ziemlich aufgeblasen. Afaik kann man sich doch recht gut und einfach dagegen schützen (in Java zB mit PreparedStatements). Auf meiner Website habe ich mich jedenfalls dagegen so geschützt.

Ich frage mich wie dann noch SQL Injections möglich sein sollen? Außerdem wird beschrieben das große Seiten wie bspw. Walmart so angegriffen werden. Ich kann mir kaum vorstellen, dass die sich nicht dagegen abgesichert haben.

 

[dms]

Das mit Walmart scheint zu stimmen wenn man Google glauben mag. Klar, kann mir das schon vorstellen. Selbst bei häufig genutzer Software werden ja immer wieder Sicherheitslücken gefunden. In eigenst entwickelten System natürlich um so mehr.

 

[_toom_]

So, ich hab mich noch ein bisschen weiter informiert. Mir kommt der Artikel nun mit ziemlicher Sicherheit aufgeblasen vor. Wenn man sich dagegen absichert mit stored procedures, dann sollten SQL-Injections kaum Probleme bereiten. Häufig ist es aber interessanterweise so, dass es nach wie vor große Lücken gibt insbesondere in PHP-Seiten. Ich versteh nicht wie man nur so fahrlässig entwickeln kann.

Außerdem der Artikel ist von einer Sicherheitsfirma, die natürlich damit Geld machen wollen und entsprechend übertreiben. Gllaubt man denen dann gibt es sein Januar 2008 bis heute Juli über 100000 neue Schädlinge. IMHO absoluter Quatsch.

 

[dms]

Ich versteh nicht wie man nur so fahrlässig entwickeln kann.

Ich schon. Heute ruft mich ein Artzt im Büro an und erzählt mir seine neue Webseite gefällt ihm nicht. Hat er bei MyHammer für 90 Öcken machen lassen. Da brauch ich mir nicht mal die Mühe machen das anzuschaun. Bei dem Preis kann man sowas wie Sicherheit und Qualität nicht erwarten. Tjo, nachdem er wusste was da preislich auf ihn zukommt war das Gespräch beendet. Der Kunde bekommt eben das was er bezahlt.

Walmart ist aber schon ne harte Nummer. Da sollte man schon meinen dass da ordentlich Geld und Können hinter steckt.

 

[ThaHammer]

Mit den SQL Injections ist nicht zu spaßen!
In meinem Job trifft es immer wieder Webseiten. Ich rüste zwar fleißig nach mit String aus filtern usw. Aber die schaffen es immer wieder den Inject auszuführen!
Meine Firma hat alles in .ASP programmiert. Das sind alles noch Seiten von meinen Vorgängern, alles komplett ohne Sicherheitsmaßnahmen. Sag euch das nervt nur noch!

 

[Atarimaster]

Häufig ist es aber interessanterweise so, dass es nach wie vor große Lücken gibt insbesondere in PHP-Seiten. Ich versteh nicht wie man nur so fahrlässig entwickeln kann.

Schau Dir mal die verschiedenen PHP-Tutorials an, die man im Web so findet: Von Sicherheitsaspekten ist dort fast nie eine Rede. Vor ein paar Jahren war das nicht mal in teuren, dicken PHP-Büchern, die sich selbst Professionalität auf die Fahne (bzw. auf den Einband) geschrieben hatten, ein Thema.

Hinzu kommt, dass ein Vorteil von PHP zu einem Problem werden kann: Mit relativ einfachen Mitteln kann man Webanwendungen schreiben, die durchaus (erstmal) funktionieren. Im Glauben, er beherrsche jetzt die Materie, stellt sich der Anfänger dann eigene Scripte ins Web oder bietet sich gar als Webentwickler an.
Und dann kommt das bereits erwähnte Kostenargument: Gerade kleinere Firmen sehen es dann nicht ein, warum sie eine vierstellige Summe für die eigene Website investieren sollen, wenn es der nette Student doch für einen Bruchteil des Preises macht. Sicherheit? Ach, wozu denn – wer hätte denn schon Interesse daran, unsere kleine Website anzugreifen? Wir haben uns doch nie Feinde gemacht!
(Übrigens kein Witz: Diese Argumentation habe ich schon mehr als einmal gehört.)

Und bei großen Firmen ist es oft das Problem, dass die Leute an den entscheidenden Stellen ein IT-Kompetenz haben, die gen minus unendlich strebt. Die glauben dann gerne, der Webentwickler klicke eine komplette Site in kürzester Zeit aus einem Baukasten zusammen.
Und wieso überhaupt soviel Geld für dieses komische Internet ausgeben? Den Umsatz machen wir immer noch im Laden…