Meine 2ct zum Heartbleed-Bug

XKCD hat es ja sehr schön erklärt:

(klicken um den ganzen Comic zu sehen)

[Update: die technische Erklärung bei heise.de: http://www.heise.de/newsticker/meldung/SSL-GAU-erklaert-So-funktioniert-der-Heartbleed-Exploit-2168051.html]

Ich gebe ja zu, daß es sinnvoll ist, dem antwortenden System zu sagen, wieviel Platz man für die Antwort reserviert hat. Nichtsdestoweniger sollte der Server auch niemals mehr Daten herausgeben als nötig. Über die genauen Abläufe kann ich zwar nur spekulieren, aber hier hat eindeutig das Qualitätsmanagement versagt. Das gibt es schließlich auch im Open-Source-Bereich: die meisten großen OSS-Projekte haben ein ehrenamtliches oder kommerzielles Kernteam, das normalerweise dafür sorgt, daß kein Unfug eingebaut wird. Und gegen Bufferüberläufe bzw. fehlende Längenprüfungen in den Parametern bestimmter C-Bibliotheken gibt es meines Wissens schon seit etlichen Jahren automatisierte Prüftools.

Aber eine andere wichtige Erkenntnis rückt dadurch wieder in den Blickpunkt: die besten Sicherheitsalgorithmen sind nutzlos, wenn das Drumherum schlampig programmiert ist.

Advertisements
This entry was posted in Uncategorized and tagged , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s