social.stefan-muenz.de

Search

Items tagged with: Problem

Hilfe | Friendica: Zugriff verweigert

Hallo !developers,

ich wollte eben diesen Beitrag kommentieren, aber ich bekomme immer nur die Meldung 'Zugriff verweigert'. Und das obwohl ich dort schon vorher kommentiert habe.

Was kann das sein?

Tags: #Hilfe #Frage #Problem #Friendica #Kommentar #Zugriff-verweigert #Ravenbird #2021-07-29
 

Bestellt euch kostenlose Aufkleber, um den #Klimastreik am 24. September vor der #Bundestagswahl zu unterstützen!


Klickste hier mal rein und ab dafür: https://fridaysforfuture.de/allefuersklima/mobimaterial/

Das hier stand in meiner Aufkleberbestellbestätigungsemail:
P.S.: Unsere Aufkleber sind natürlich nach höchsten Standards produziert – auf FSC-Papier, mit veganem Kleber und klimaneutral in der Herstellung!
Das finde ich natürlich gut, dass #FFF auf #Umweltfreundlichkeit wert legt; allerdings frage ich mich, ob man sich dabei nicht selber in die Tasche lügt und wenn ich mich das frage, ob ich nicht zu scheinheilig bin, dass ich überhaupt soetwas frage.

Selbst #Google ist #klimaneutral. Google dieser blöde Ausbeuterverein, der das #Internet gnadenlos kaputt macht für den #Kapitalismus.

Siehe: https://winfuture.de/news,118257.html

Das Ganze funktioniert also so mit der #Kimaneutralität:
Ich versündige mich an der #Umwelt und kaufe mir dann einen Ablassbrief, um meine Tat klimaneutral erscheinen zu lassen.
Und haben wir hier schlechtes Klima fahren wir sofort nach Lima :(
#Protest #FridaysForFuture #Politik #Klima #Erde #Zukunft #Menschheit #Aktivismus #Freiheit #Krise #Desaster #Erwärmung #Demokratie #Wahl #Temperatur #Wetter #Problem #Umweltschutz
 

Bestellt euch kostenlose Aufkleber, um den #Klimastreik am 24. September vor der #Bundestagswahl zu unterstützen!


Klickste hier mal rein und ab dafür: https://fridaysforfuture.de/allefuersklima/mobimaterial/

Das hier stand in meiner Aufkleberbestellbestätigungsemail:
P.S.: Unsere Aufkleber sind natürlich nach höchsten Standards produziert – auf FSC-Papier, mit veganem Kleber und klimaneutral in der Herstellung!
Das finde ich natürlich gut, dass #FFF auf #Umweltfreundlichkeit wert legt; allerdings frage ich mich, ob man sich dabei nicht selber in die Tasche lügt und wenn ich mich das frage, ob ich nicht zu scheinheilig bin, dass ich überhaupt soetwas frage.

Selbst #Google ist #klimaneutral. Google dieser blöde Ausbeuterverein, der das #Internet gnadenlos kaputt macht für den #Kapitalismus.

Siehe: https://winfuture.de/news,118257.html

Das Ganze funktioniert also so mit der #Kimaneutralität:
Ich versündige mich an der #Umwelt und kaufe mir dann einen Ablassbrief, um meine Tat klimaneutral erscheinen zu lassen.
Und haben wir hier schlechtes Klima fahren wir sofort nach Lima :(
#Protest #FridaysForFuture #Politik #Klima #Erde #Zukunft #Menschheit #Aktivismus #Freiheit #Krise #Desaster #Erwärmung #Demokratie #Wahl #Temperatur #Wetter #Problem #Umweltschutz
 
Bild/Foto
Hey schießt euch mal mehr auf die #Union ein im Wahlkampf. Bei Baerbock wissen wir doch jetzt alles. Bei der Union laufen aber wirklich gefährliche Gestalten rum wie #Maaßen :(

#cdu #csu #Wahlkampf #Demokratie #Regierung #wahl #wahlprigramm #Wahlkampf #nieWiederCDU #noNazis #niemehrcdu #problem #politik
 
Bild/Foto
Hey schießt euch mal mehr auf die #Union ein im Wahlkampf. Bei Baerbock wissen wir doch jetzt alles. Bei der Union laufen aber wirklich gefährliche Gestalten rum wie #Maaßen :(

#cdu #csu #Wahlkampf #Demokratie #Regierung #wahl #wahlprigramm #Wahlkampf #nieWiederCDU #noNazis #niemehrcdu #problem #politik
 
Bild/Foto
Hey schießt euch mal mehr auf die #Union ein im Wahlkampf. Bei Baerbock wissen wir doch jetzt alles. Bei der Union laufen aber wirklich gefährliche Gestalten rum wie #Maaßen :(

#cdu #csu #Wahlkampf #Demokratie #Regierung #wahl #wahlprigramm #Wahlkampf #nieWiederCDU #noNazis #niemehrcdu #problem #politik
 
Bild/Foto
Hey schießt euch mal mehr auf die #Union ein im Wahlkampf. Bei Baerbock wissen wir doch jetzt alles. Bei der Union laufen aber wirklich gefährliche Gestalten rum wie #Maaßen :(

#cdu #csu #Wahlkampf #Demokratie #Regierung #wahl #wahlprigramm #Wahlkampf #nieWiederCDU #noNazis #niemehrcdu #problem #politik
 

#Bundesnetzagentur machtlos: Roboter-Anrufe für "Querdenken": #Behörde gibt Suche auf


Siehe: https://www.t-online.de/digital/id_90393150/roboter-anrufe-fuer-querdenken-behoerde-gibt-suche-auf.html
Um zu ermitteln, von welchem Anschluss aus die Anrufe erfolgen, braucht sie Zugriff in die sogenannten "Verkehrsdaten" einer Verbindung, hat dafür aber bisher keine Grundlage. Netzbetreiber müssen bisher nicht für Recherchen der Bundesnetzagentur Verkehrsdaten über einzelne Verbindungen preisgeben.
Bei einer mutmaßlich Urheberrechtsverletzung wären die Netzdaten sofort rechtlich ermittelt worden - so sieht das nämlich aus in unserem #Rechtsstaat :(

#Querdenker #Belästigung #recht #politik #problem
 

#Bundesnetzagentur machtlos: Roboter-Anrufe für "Querdenken": #Behörde gibt Suche auf


Siehe: https://www.t-online.de/digital/id_90393150/roboter-anrufe-fuer-querdenken-behoerde-gibt-suche-auf.html
Um zu ermitteln, von welchem Anschluss aus die Anrufe erfolgen, braucht sie Zugriff in die sogenannten "Verkehrsdaten" einer Verbindung, hat dafür aber bisher keine Grundlage. Netzbetreiber müssen bisher nicht für Recherchen der Bundesnetzagentur Verkehrsdaten über einzelne Verbindungen preisgeben.
Bei einer mutmaßlich Urheberrechtsverletzung wären die Netzdaten sofort rechtlich ermittelt worden - so sieht das nämlich aus in unserem #Rechtsstaat :(

#Querdenker #Belästigung #recht #politik #problem
 

Für Euch getestet: FritzBox mit Notfall-Internet via Handy

FritzBox mit Notfall-Internet via Handy

Was tun wenn der Provider nicht funktioniert, aber das wichtige Dokument muss noch raus?

USB-Tethering ist das Stichwort!

#FritzBox mit #Notfall-Internet via #Handy zu versorgen, ist kein #Problem auf den neueren Geräten von #AVM.

Einfach Handy mit USB-Kabel anschließen und am Handy #USB-Thetering einschalten, dann erscheint auf der Fritte unter Internet/Mobilfunk:

"Sofern Sie ein #Smartphone oder einen Mobilfunk-Stick (LTE/UMTS/HSPA) mit Tethering-Funktion per USB an der #FRITZ!Box angeschlossen haben, können Sie hier den #Internetzugang über #Mobilfunk einrichten."


Das dann entsprechend anschalten und los gehts. :-D

Und bitte an den #Traffic / #Datenrate auf dem Handy denken, bevor es teuer wird. ;-)

#Notfallplanung #Internet #Zugang #Mobil #tipp

#Kaspersky #Password Manager: All your passwords are belong to us


source: https://donjon.ledger.com/kaspersky-password-manager/
So the #seed used to generate every password is the current system time, in seconds. It means every instance of Kaspersky Password Manager in the world will generate the exact same password at a given second.
Bild/Foto

#security #news #hacker #software #fail #problem #omg #wtf
 

#Kaspersky #Password Manager: All your passwords are belong to us


source: https://donjon.ledger.com/kaspersky-password-manager/
So the #seed used to generate every password is the current system time, in seconds. It means every instance of Kaspersky Password Manager in the world will generate the exact same password at a given second.
Bild/Foto

#security #news #hacker #software #fail #problem #omg #wtf
 

„Wir reden hier von übelster und widerwärtigster, neonazistischer und rassistischer flüchtlingsfeindlichster Hetze.“


#Rechtsextrem in Uniform - Über Radikalisierungstendenzen in der deutschen #Polizei

https://www.mdr.de/kultur/radio/ipg/sendung933874.html

#podcast #mdr #problem #nonazis #unterwanderung #politik #verantwortung #Rassismus #Faschismus #Extremismus #Gesellschaft
 

Surprise #Brexit means Brexit 😱 🎸🎶 🎤


Iron Maiden Singer, who Voted for Brexit, Complains About Resulting #EU #Travel Restrictions
"It's very well known that I voted Brexit, but the idea is that after you've done it, you then go in and be sensible about the relationships you have with people. So at the moment, all this guff about not being able to play in #Europe and Europeans not being able to play over here, and work permits, and all the rest of the rubbish – Come on! Get your act together!," he added.
Source: https://www.msn.com/en-us/news/world/iron-maiden-singer-who-voted-for-brexit-complains-about-resulting-eu-travel-restrictions/ar-AALyfcJ

#politics #economy #entertainment #business #problem #uk #music #news #problem #ironmaiden #dickinson
 

Surprise #Brexit means Brexit 😱 🎸🎶 🎤


Iron Maiden Singer, who Voted for Brexit, Complains About Resulting #EU #Travel Restrictions
"It's very well known that I voted Brexit, but the idea is that after you've done it, you then go in and be sensible about the relationships you have with people. So at the moment, all this guff about not being able to play in #Europe and Europeans not being able to play over here, and work permits, and all the rest of the rubbish – Come on! Get your act together!," he added.
Source: https://www.msn.com/en-us/news/world/iron-maiden-singer-who-voted-for-brexit-complains-about-resulting-eu-travel-restrictions/ar-AALyfcJ

#politics #economy #entertainment #business #problem #uk #music #news #problem #ironmaiden #dickinson
 

The full video that captured the powerful image of a Red Cross volunteer hugging a #migrant in #Ceuta


Source: https://english.elpais.com/spanish_news/2021-05-21/the-full-video-that-captured-the-powerful-image-of-a-red-cross-volunteer-hugging-a-migrant-in-ceuta.html
After the images went viral, the volunteer was inundated with xenophobic and sexist messages on social media, which forced her to restrict access to her profiles.



#graciasluna #EU #Europe #HumanRights #refugees #help #solidarity #migration #hate #problem #racism
 

The full video that captured the powerful image of a Red Cross volunteer hugging a #migrant in #Ceuta


Source: https://english.elpais.com/spanish_news/2021-05-21/the-full-video-that-captured-the-powerful-image-of-a-red-cross-volunteer-hugging-a-migrant-in-ceuta.html
After the images went viral, the volunteer was inundated with xenophobic and sexist messages on social media, which forced her to restrict access to her profiles.



#graciasluna #EU #Europe #HumanRights #refugees #help #solidarity #migration #hate #problem #racism
 

#Sicherheit in der Luca-App und von #OpenSource allgemein


Durch einen Post von @Michael Vogel wurde ich auf ein Problem im Quellcode der Luca-App aufmerksam: https://pod.geraspora.de/posts/13446160

Die zwei kritischen Code-Stücke sind für das Testen zuständig und man findet sie hier: https://gitlab.com/lucaapp/android/-/blob/master/Luca/app/src/main/java/de/culture4life/luca/ui/registration/RegistrationViewModel.java

Teil 1:
public boolean isUsingTestingCredentials() {
return Objects.equals(firstName.getValue(), "John")
&& Objects.equals(lastName.getValue(), "Doe")
&& Objects.equals(phoneNumber.getValue(), "+4900000000000")
&& Objects.equals(email.getValue(), "john.doe@gmail.com");
}

Teil 2:
boolean isValidPhoneNumber(String phoneNumberString) {
if (isUsingTestingCredentials()) {
return true;
}
try {...

Als Hackerin mit Codex will ich mich darüber nicht nur lustig machen sondern erklären worin das Problem liegt und wie man es beheben kann.

Sicherheitsverständnis bei Open-Source

Ein weit verbreitete Fehleinschätzung ist, dass Open-Source sicherer ist als geheimer proprietärer Quellcode. Niemand außer dem Besitzer kann geheimen Quellcode prüfen und deswegen können Fehler jahrelang unbemerkt bleiben und nur von Eingeweihten ausgenutzt werden. So kann man im geheimen Quellcode problemlos Hintertüren und andere Schweinereien verstecken.

Open-Source oder freier Quellcode kann von jedem eingesehen werden und so ist es schwieriger dort Hintertüren zu verstecken. Diese Schwierigkeit macht den offenen Quellecode schon mal ein bisschen sicherer. Dann muss dieser Quellcode aber immer noch getestet, überprüft und kontrolliert werden. Geschieht dies nicht und alle vertrauen nur blind auf die Sicherheit dann ist das sehr fahrlässig. Es gibt leider Beispiele wo offensichtliche Fehler im frei zugänglichen Quellcode jahrelang übersehen wurden - siehe: Heartbleed - https://de.wikipedia.org/wiki/Heartbleed

Jetzt muss man aber auch die Philosophie von freier Software verstehen und die wird nirgendwo an der Universität gelehrt. Die muss man sich per Selbststudium im Internet beibringen. Wenn jeder in den Quellcode schauen kann und er danach immer noch sicher ist, dann habe ich echte Sicherheit (immer vorausgesetzt, dass Experten auch drauf geschaut haben). Das heißt natürlich, dass ich nichts in den Quellcode schreiben darf was man später ausnutzen kann (weil dies würde die Sicherheit schwächen).

Leider lernt man an der Universität oder Ausbildung sogut wie nichts über Sicherheit, die schon beim Design der Software ansetzt. Dies sind relativ neue Forschungen und die Ausbildungskräfte bilden sich nicht gut genug fort als das sie darüber Kenntnisse hätten. Für Wirtschaftsinformatiker scheint es wichtiger zu sein, dass sie profitabel sind und nicht sicheren Quellcode schreiben (blöder Kapitalismus).

Was ist hier das Problem?

Am oben gezeigten Quellcode sieht man, dass getestet wird. So was nennt man Test-Driven-Development und das ist zunächst etwas Gutes. Der Quellcode wird vor dem "Build" also dem zusammenbauen als fertige App zunächst automatisiert getestet und wenn ein Test fehlschlägt wird der "Build" abgebrochen, sodass der Fehler korrigiert werden muss. Der Fehler kann wenn er durch den Test erkannt wird also nicht beim Endbenutzer auftauchen.

Wie man aber in Teil 2 oben sieht kann man mit den Testdaten Prüfungen in der App umgehen und dadurch mehr Rechte erhalten. Noch viel schlimmer ist, dass wir in Teil 2 sehen, das der "try"-Teil erst nach der Prüfung auf Testdaten startet. "Try" ist für die Fehlerbehandlung zuständig und das bedeutet ich kann mit Testdaten die App in einen undefinierten Zustand bringen, weil es keine Fehlerbehandlung gibt. Diese undefinierten Zustände können Hacker häufig für Exploits ausnutzen.

Insgesamt also alles sehr schlecht!

Wie kann ich das besser machen?

1) Compilerflags - Mit Compilerflags kann ich verhindern, das bestimmte Programmteile in der produktiven App landen. Vereinfacht gesagt ich baue mir eine Testversion und wenn die funktioniert dann baue ich mir eine Produktivversion wo die Testfunktionen nicht enthalten sind. Großer Nachteil dieser Methode ist, das Programmierer gelegentlich vergessen, die Testfunktionen richtig rauszulöschen mit den Flags weil sie zu sehr unter Druck stehen und dann Fehler machen. So ist es häufiger schon passiert, dass unbeabsichtigt Testfunktionen doch im Produktivsystem gelandet sind. Ein weiteres Problem ist wenn Fehler nicht in der Testversion auftreten aber im Produktivsystem weil es anders gebaut wurde. Dann sind wahrscheinlich irgendwo die Compilerflags falsch gesetzt worden. Ein Fehler den man dann niemals machen darf, der aber schon passiert ist, ist, dass dann einfach die Testversion ausgeliefert wird in der Hoffnung, dass das niemand merkt.

2) Testflags verwenden - In der Testumgebung wird über die Konfiguration ein bestimmtes Flag gesetzt, sodass die Software weiß, dass sie im Testmodus ist. Nachteil ist, dass bösartige Hacker diese Flag auch in der Produktivumgebung setzen könnten.

3) So Testen, dass es keinen Unterschied macht (beste Lösung). Warum im Testsystem nicht mit anonymisierten oder pseudonymisierten Daten so testen wie unter echten Bedingungen? Meistens macht das etwas mehr Aufwand aber dafür hat man die Tests unter Echtbedingungen gemacht was den höchsten Wert hat. Keine Flags oder Funktionen im Quellcode die ausgenutzt werden könnten.
#luca #software #testen #test #sicherheit #problem #bildung #entwicklung #verstädnis #lernen #hack #hacking #app #smartphone #gesundheit #corona #programm
 

#Sicherheit in der Luca-App und von #OpenSource allgemein


Durch einen Post von @Michael Vogel wurde ich auf ein Problem im Quellcode der Luca-App aufmerksam: https://pod.geraspora.de/posts/13446160

Die zwei kritischen Code-Stücke sind für das Testen zuständig und man findet sie hier: https://gitlab.com/lucaapp/android/-/blob/master/Luca/app/src/main/java/de/culture4life/luca/ui/registration/RegistrationViewModel.java

Teil 1:
public boolean isUsingTestingCredentials() {
return Objects.equals(firstName.getValue(), "John")
&& Objects.equals(lastName.getValue(), "Doe")
&& Objects.equals(phoneNumber.getValue(), "+4900000000000")
&& Objects.equals(email.getValue(), "john.doe@gmail.com");
}

Teil 2:
boolean isValidPhoneNumber(String phoneNumberString) {
if (isUsingTestingCredentials()) {
return true;
}
try {...

Als Hackerin mit Codex will ich mich darüber nicht nur lustig machen sondern erklären worin das Problem liegt und wie man es beheben kann.

Sicherheitsverständnis bei Open-Source

Ein weit verbreitete Fehleinschätzung ist, dass Open-Source sicherer ist als geheimer proprietärer Quellcode. Niemand außer dem Besitzer kann geheimen Quellcode prüfen und deswegen können Fehler jahrelang unbemerkt bleiben und nur von Eingeweihten ausgenutzt werden. So kann man im geheimen Quellcode problemlos Hintertüren und andere Schweinereien verstecken.

Open-Source oder freier Quellcode kann von jedem eingesehen werden und so ist es schwieriger dort Hintertüren zu verstecken. Diese Schwierigkeit macht den offenen Quellecode schon mal ein bisschen sicherer. Dann muss dieser Quellcode aber immer noch getestet, überprüft und kontrolliert werden. Geschieht dies nicht und alle vertrauen nur blind auf die Sicherheit dann ist das sehr fahrlässig. Es gibt leider Beispiele wo offensichtliche Fehler im frei zugänglichen Quellcode jahrelang übersehen wurden - siehe: Heartbleed - https://de.wikipedia.org/wiki/Heartbleed

Jetzt muss man aber auch die Philosophie von freier Software verstehen und die wird nirgendwo an der Universität gelehrt. Die muss man sich per Selbststudium im Internet beibringen. Wenn jeder in den Quellcode schauen kann und er danach immer noch sicher ist, dann habe ich echte Sicherheit (immer vorausgesetzt, dass Experten auch drauf geschaut haben). Das heißt natürlich, dass ich nichts in den Quellcode schreiben darf was man später ausnutzen kann (weil dies würde die Sicherheit schwächen).

Leider lernt man an der Universität oder Ausbildung sogut wie nichts über Sicherheit, die schon beim Design der Software ansetzt. Dies sind relativ neue Forschungen und die Ausbildungskräfte bilden sich nicht gut genug fort als das sie darüber Kenntnisse hätten. Für Wirtschaftsinformatiker scheint es wichtiger zu sein, dass sie profitabel sind und nicht sicheren Quellcode schreiben (blöder Kapitalismus).

Was ist hier das Problem?

Am oben gezeigten Quellcode sieht man, dass getestet wird. So was nennt man Test-Driven-Development und das ist zunächst etwas Gutes. Der Quellcode wird vor dem "Build" also dem zusammenbauen als fertige App zunächst automatisiert getestet und wenn ein Test fehlschlägt wird der "Build" abgebrochen, sodass der Fehler korrigiert werden muss. Der Fehler kann wenn er durch den Test erkannt wird also nicht beim Endbenutzer auftauchen.

Wie man aber in Teil 2 oben sieht kann man mit den Testdaten Prüfungen in der App umgehen und dadurch mehr Rechte erhalten. Noch viel schlimmer ist, dass wir in Teil 2 sehen, das der "try"-Teil erst nach der Prüfung auf Testdaten startet. "Try" ist für die Fehlerbehandlung zuständig und das bedeutet ich kann mit Testdaten die App in einen undefinierten Zustand bringen, weil es keine Fehlerbehandlung gibt. Diese undefinierten Zustände können Hacker häufig für Exploits ausnutzen.

Insgesamt also alles sehr schlecht!

Wie kann ich das besser machen?

1) Compilerflags - Mit Compilerflags kann ich verhindern, das bestimmte Programmteile in der produktiven App landen. Vereinfacht gesagt ich baue mir eine Testversion und wenn die funktioniert dann baue ich mir eine Produktivversion wo die Testfunktionen nicht enthalten sind. Großer Nachteil dieser Methode ist, das Programmierer gelegentlich vergessen, die Testfunktionen richtig rauszulöschen mit den Flags weil sie zu sehr unter Druck stehen und dann Fehler machen. So ist es häufiger schon passiert, dass unbeabsichtigt Testfunktionen doch im Produktivsystem gelandet sind. Ein weiteres Problem ist wenn Fehler nicht in der Testversion auftreten aber im Produktivsystem weil es anders gebaut wurde. Dann sind wahrscheinlich irgendwo die Compilerflags falsch gesetzt worden. Ein Fehler den man dann niemals machen darf, der aber schon passiert ist, ist, dass dann einfach die Testversion ausgeliefert wird in der Hoffnung, dass das niemand merkt.

2) Testflags verwenden - In der Testumgebung wird über die Konfiguration ein bestimmtes Flag gesetzt, sodass die Software weiß, dass sie im Testmodus ist. Nachteil ist, dass bösartige Hacker diese Flag auch in der Produktivumgebung setzen könnten.

3) So Testen, dass es keinen Unterschied macht (beste Lösung). Warum im Testsystem nicht mit anonymisierten oder pseudonymisierten Daten so testen wie unter echten Bedingungen? Meistens macht das etwas mehr Aufwand aber dafür hat man die Tests unter Echtbedingungen gemacht was den höchsten Wert hat. Keine Flags oder Funktionen im Quellcode die ausgenutzt werden könnten.
#luca #software #testen #test #sicherheit #problem #bildung #entwicklung #verstädnis #lernen #hack #hacking #app #smartphone #gesundheit #corona #programm
 

#Sicherheit in der Luca-App und von #OpenSource allgemein


Durch einen Post von @Michael Vogel wurde ich auf ein Problem im Quellcode der Luca-App aufmerksam: https://pod.geraspora.de/posts/13446160

Die zwei kritischen Code-Stücke sind für das Testen zuständig und man findet sie hier: https://gitlab.com/lucaapp/android/-/blob/master/Luca/app/src/main/java/de/culture4life/luca/ui/registration/RegistrationViewModel.java

Teil 1:
public boolean isUsingTestingCredentials() {
return Objects.equals(firstName.getValue(), "John")
&& Objects.equals(lastName.getValue(), "Doe")
&& Objects.equals(phoneNumber.getValue(), "+4900000000000")
&& Objects.equals(email.getValue(), "john.doe@gmail.com");
}

Teil 2:
boolean isValidPhoneNumber(String phoneNumberString) {
if (isUsingTestingCredentials()) {
return true;
}
try {...

Als Hackerin mit Codex will ich mich darüber nicht nur lustig machen sondern erklären worin das Problem liegt und wie man es beheben kann.

Sicherheitsverständnis bei Open-Source

Ein weit verbreitete Fehleinschätzung ist, dass Open-Source sicherer ist als geheimer proprietärer Quellcode. Niemand außer dem Besitzer kann geheimen Quellcode prüfen und deswegen können Fehler jahrelang unbemerkt bleiben und nur von Eingeweihten ausgenutzt werden. So kann man im geheimen Quellcode problemlos Hintertüren und andere Schweinereien verstecken.

Open-Source oder freier Quellcode kann von jedem eingesehen werden und so ist es schwieriger dort Hintertüren zu verstecken. Diese Schwierigkeit macht den offenen Quellecode schon mal ein bisschen sicherer. Dann muss dieser Quellcode aber immer noch getestet, überprüft und kontrolliert werden. Geschieht dies nicht und alle vertrauen nur blind auf die Sicherheit dann ist das sehr fahrlässig. Es gibt leider Beispiele wo offensichtliche Fehler im frei zugänglichen Quellcode jahrelang übersehen wurden - siehe: Heartbleed - https://de.wikipedia.org/wiki/Heartbleed

Jetzt muss man aber auch die Philosophie von freier Software verstehen und die wird nirgendwo an der Universität gelehrt. Die muss man sich per Selbststudium im Internet beibringen. Wenn jeder in den Quellcode schauen kann und er danach immer noch sicher ist, dann habe ich echte Sicherheit (immer vorausgesetzt, dass Experten auch drauf geschaut haben). Das heißt natürlich, dass ich nichts in den Quellcode schreiben darf was man später ausnutzen kann (weil dies würde die Sicherheit schwächen).

Leider lernt man an der Universität oder Ausbildung sogut wie nichts über Sicherheit, die schon beim Design der Software ansetzt. Dies sind relativ neue Forschungen und die Ausbildungskräfte bilden sich nicht gut genug fort als das sie darüber Kenntnisse hätten. Für Wirtschaftsinformatiker scheint es wichtiger zu sein, dass sie profitabel sind und nicht sicheren Quellcode schreiben (blöder Kapitalismus).

Was ist hier das Problem?

Am oben gezeigten Quellcode sieht man, dass getestet wird. So was nennt man Test-Driven-Development und das ist zunächst etwas Gutes. Der Quellcode wird vor dem "Build" also dem zusammenbauen als fertige App zunächst automatisiert getestet und wenn ein Test fehlschlägt wird der "Build" abgebrochen, sodass der Fehler korrigiert werden muss. Der Fehler kann wenn er durch den Test erkannt wird also nicht beim Endbenutzer auftauchen.

Wie man aber in Teil 2 oben sieht kann man mit den Testdaten Prüfungen in der App umgehen und dadurch mehr Rechte erhalten. Noch viel schlimmer ist, dass wir in Teil 2 sehen, das der "try"-Teil erst nach der Prüfung auf Testdaten startet. "Try" ist für die Fehlerbehandlung zuständig und das bedeutet ich kann mit Testdaten die App in einen undefinierten Zustand bringen, weil es keine Fehlerbehandlung gibt. Diese undefinierten Zustände können Hacker häufig für Exploits ausnutzen.

Insgesamt also alles sehr schlecht!

Wie kann ich das besser machen?

1) Compilerflags - Mit Compilerflags kann ich verhindern, das bestimmte Programmteile in der produktiven App landen. Vereinfacht gesagt ich baue mir eine Testversion und wenn die funktioniert dann baue ich mir eine Produktivversion wo die Testfunktionen nicht enthalten sind. Großer Nachteil dieser Methode ist, das Programmierer gelegentlich vergessen, die Testfunktionen richtig rauszulöschen mit den Flags weil sie zu sehr unter Druck stehen und dann Fehler machen. So ist es häufiger schon passiert, dass unbeabsichtigt Testfunktionen doch im Produktivsystem gelandet sind. Ein weiteres Problem ist wenn Fehler nicht in der Testversion auftreten aber im Produktivsystem weil es anders gebaut wurde. Dann sind wahrscheinlich irgendwo die Compilerflags falsch gesetzt worden. Ein Fehler den man dann niemals machen darf, der aber schon passiert ist, ist, dass dann einfach die Testversion ausgeliefert wird in der Hoffnung, dass das niemand merkt.

2) Testflags verwenden - In der Testumgebung wird über die Konfiguration ein bestimmtes Flag gesetzt, sodass die Software weiß, dass sie im Testmodus ist. Nachteil ist, dass bösartige Hacker diese Flag auch in der Produktivumgebung setzen könnten.

3) So Testen, dass es keinen Unterschied macht (beste Lösung). Warum im Testsystem nicht mit anonymisierten oder pseudonymisierten Daten so testen wie unter echten Bedingungen? Meistens macht das etwas mehr Aufwand aber dafür hat man die Tests unter Echtbedingungen gemacht was den höchsten Wert hat. Keine Flags oder Funktionen im Quellcode die ausgenutzt werden könnten.
#luca #software #testen #test #sicherheit #problem #bildung #entwicklung #verstädnis #lernen #hack #hacking #app #smartphone #gesundheit #corona #programm
 

Ein Familienrichter in Weimar hat versucht die #Maskenpflicht an zwei #Schulen aufzuheben.


siehe:

Was ich an dem Fall interessant finde ist, dass es jede Menge fragwürdiger #Urteile in #Deutschland gibt und die Zuständigen Aufsichtsstellen dann immer gebetsmühlenartig die Unabhängigkeit der Richter darlegen. Wenn aber wie jetzt in Weimar mal wieder ein Richter Amok läuft geht es plötzlich ganz schnell damit das Urteil aufzuheben. Das ist kein Rechtsstaat sondern reine Willkür :(

#Demokratie #Politik #Justiz #Freiheit #Gesundheit #Corona #Covid-19 #Problem #Gericht
 
Later posts Earlier posts