nicht angemeldet
Halihallo Andres und Alain
Ich verstehe beide Argumentationen und versuche eine kleine Zusammenfassung meines
derzeitigen Point-of-Views:
- Der Tainted-Modus impliziert keine Sicherheit, dies steht alleine in der Macht der
Softwarehersteller (kann auch Betriebssystem, Webserver oder Shellprogramme sein,
nicht nur die eingene). - Der Tainted-Modus ist lediglich ein Verfahren, um mögliche Sicherheitslöcher zu
identifizieren, lösen muss es jedoch der Programmierer (durch finden einer geeigneten
RegExp oder anderer Überprüfung). - Im Webumfeld geht die primäre Gefahr von den Formulardaten aus, dies enthält auch das
Vorbeugen der Cross-Site Scripting Attacks. - Der Tainted-Modus ist IMHO primär für die Serveradministration und Multiuserbetrieb
erstellt worden (besonders für Scripte mit vielen Permissions), sodass Attacken,
ungewollte Zugriffe oder Folgefehler aufgrund falschem Input (Environment, Parameter,
...) möglichst verhindert werden. - Im Webumfeld lauern ganz andere Gefahren, die mit Tainted-Modus _nicht_ identifiziert
werden, somit halte ich dort ein -T für overkill in dem Sinne, dass man viel schreiben
muss, um -T zufriedenzustellen, was primär gar kein Sicherheitsproblem ist; sich
jedoch erstmal auf die anders gelagerten Webprobleme konzentrieren sollte (z.B. Login-
Mechanismen, Sicherheitsaspekte in Schnittstellen, Authentication für sensible
Bereiche, Datenintegrität, Use-Cases...). - Fazit: -T und "use strict" gehören zu einem guten Programmierstil, das weglassen
ebenfalls; zudem schliessen beide einen schlechten Stil niemals aus. - Fazit II: Beide Verfahren dienen der Identifikation gewisser möglicher
Probleme/Aspekte, gelöst werden müssen sie jedoch immer noch vom Programmierer.
Besonders möchte ich noch 5) betonen. Auch wenn -T einige Probleme identifiziert, in
speziellen Programmen für spezielle Anwendungen und -bereiche (z.B. Webumfeld), lauern
spezielle Gefahren, die eben _nicht_ abgedeckt werden. Und genau diese speziellen
Gefahren sind of diejenigen, welche ausgenutzt werden. Zuerst sollte man sich also
mit den wirklich relevanten Problemen/Gefahren beschäftigen (und dies ist leider nicht
immer konform mit der "Meinung" vom Tainted-Modus).
Was meint Ihr (Andres, Alain und andere Forumer)?
Viele Grüsse
Philipp
--
RTFM! - Foren steigern das Aufkommen von Redundanz im Internet, danke für das lesen der Manuals.
Selbstbedienung! - Das SelfForum ist ein Gratis-Restaurant mit Selbstbedienung, Menüangebot steht in den </faq/> und dem </archiv/>.
RTFM! - Foren steigern das Aufkommen von Redundanz im Internet, danke für das lesen der Manuals.
Selbstbedienung! - Das SelfForum ist ein Gratis-Restaurant mit Selbstbedienung, Menüangebot steht in den </faq/> und dem </archiv/>.