Inwieweit sollte man solchen Services generell vertrauen? Immerhin gibt man damit ja Preis, gewisse Zweifel an der Sicherheit seines Servers zu haben und wenn man hinter den Betreibern solcher Services angenommen böse Menschen vermutet, könnten diese Leute das ja auch ausnutzen. Das ist doch als ob man einen fremden Menschen bittet, doch mal zu überprüfen, ob man seine Haustür zugemacht bzw. abgeschlossen hat, wenn man sich nicht sicher ist, dies getan zu haben. Vielleicht etwas paranoid ...
viel interessanter wäre ob diese dann Schaden durch Hacker übernehmen wenn Ihre Tools meinten es ist alles i.O. Aber das wird dann sicherlich ausgeschlossen.
Das erste was man in einer Unterrichtsstunde oder einem Vortrag über Tests hört ist: Tests können immer nur die anwesenheit, aber die abwesenheit von Fehlern zeigen.
also manchmal denke ich echt, hier gibts nur paranoide die in einem atombunker ihren rechner stehen haben... ma so gesehen, die könnten deine page auch so scannen ohne dass du des machst, also ?
Immerhin gibt man damit ja Preis, gewisse Zweifel an der Sicherheit seines Servers zu haben Ich würde eher sagen, wer behauptet, sein Server wäre sicher, ist eher sehr dumm und naiv oder lügt!
Das war ja so in etwa der Kern von dem was ich sagen wollte. Vielleicht ist es besser die Zweifel bzw. die Sicherheit daß der eigene Server sicher bzw. unsicher ist zu 'verbergen' um grundsätzlich erstmal nicht zu provozieren, da das ja dann ein bewußten Angriff herbeiführen kann (neben den permanent stattfindenden automatisierten Angriffen, die sämtliche Logfiles aufblähen). Das man nie absolut sicher sein kann ist schon klar.
Hui, den Vergleich halte ich nun doch für etwas weit hergeholt. Wenn Du aber schon auf diese Weise argumentieren willst, dann beauftragst Du auch keine Firma, Dir eine Alarmanlage in Deinem Haus zu verbauen oder schleifst Dir Türschlösser und Schlüssel selber ... Es geht hier immerhin darum, dass es nicht »irgendein Fremder« ist, sondern eine Firma, die Du für Geld beauftragt hast und mit der Du einen Vertrag abschließen wirst, der Dir versichert, dass mit den Daten vertraulich umgegangen wird. Du hast also jemanden an der Hand, falls Du Missbrauch witterst. Ich finde diese paranoide Grundeinstellung langsam auch etwas anstrengend.
Ja stimmt, Aber wenn er nicht hinken würde wär es doch kein Vergleich, oder ? :D Das man sicherer ist wenn man es in die eigene Hand nimmt ist klar. Daß man nicht alles in die eigene Hand nehmen kann ist auch klar. Man ist halt schon gezwungen ein gewisses Vertrauen in Firmen/Software zu haben. Ich persönlich denke OpenSource-Software bietet da die größte Möglichkeit mein Vertrauen zu erlangen (nein ich lese mir nicht jede Codezeile durch, um potentielle Gefahren zu finden, aber die Möglichkeit, daß man könnte wenn man wollte, schafft Vertrauen). Das wäre meiner Meinung auch der Ansatz wie solch eine Anwendung Vertrauen hervorbringen könnte. Das heißt eine Applikation, deren Quelltext offen ist und die ich auf meinem bzw. einem Rechner meiner Wahl installieren kann die dann die Websites scannt ...
Vertrauen ist gut, Kontrolle ist besser Nicht in dem Sinne daß man alles kontrolliert, aber daß man könnte wenn man wollte. Daß das ein wenig paranoid ist hab ich ja erwähnt, aber das gehört doch zum Streben nach Sicherheit in gewissem Maße dazu, und kann doch auch förderlich sein.
also. wenn die den sourcecode freigeben würden, dann hätten sie von ihrem projekt nichts mehr, weil wer würde dann die page noch nutzen? das sind "FIRMEN", die wollen auch überleben. am ende beschwert sich dann jeder, dass es soviele arbeitslose gibt, naja.
jeder der jetzt nicht weiss wie ich von dem thema auf das thema arbeit komme, der sollte mal aus seinem keller kommen!
Das käme raus und dann wäre nicht nur die Geschäftsgrundlage futsch. Stichwort Computersabotage, das dürfte dann teuer werden.
Ultimativ kommst Du mit derlei Überlegungen übrigens an den Punkt, daß Du Dir einen Compiler selbst schreibst (in Maschinencode), mit dem Du dann die restlichen (selbstgeschriebenen bzw. anhand des Quellcodes überprüften) Teile Deines Betriebssystems kompilierst...
Naja der den man in Dt. kaufen kann hat mir immer geschmeckt, aber das Zeug was da meine spanischen Mitbewohner immer bringen ist ganz und gar nicht nach meinem Geschmack. - Aber ich denke das hängt auch stark von der Region ab, von wo der Chorizo herkommt...
> Immer wieder ließen sich in der Vergangenheit Schwachstellen in Web-Anwendungen finden, die von böswilligen Serverbetreibern ausgenutzt werden konnten. Eine ganze Reihe dieser Probleme kann von Chorizo! gefunden werden, darunter Cross-Site-Scripting (XSS), SQL-Injection, Ausführen von beliebigem Code des Webseitenbetreibers auf dem Client und AJAX-Fehler.
"Bösartige Serverbetreiber"? Hmm, also um Web-Schwachstellen auszunutzen, braucht man keinen Server. Hab auch noch nie gehört, dass es so was gibt - das ist doch genau die andere Seite, also die, welche solche Angriffe fürchten?
"AJAX-Fehler"? Ajax ist doch nur ne weitere Art, Web-Requests zu senden und Responses zu empfangen. Daraus können IMHO doch keine neuen Fehler entstehen? Oder sind hier offene SOAP-Schnittstellen gemeint? Naja, das ist auch nichts neues. Also warum hier Ajax erwähnt wird, kann ich nciht nachvollziehen ...
es ist ziemlich schwierig bzw. zu aufwändig, manuell XMLHttpRequests zu prüfen. Über die Proxy-Variante geht das jedoch leicht ... XMLHttpRequests laufen ja im Hintergrund ab.
ich habe das System grade mal getestet es hat in meiner Programmierung 2 Fehler entdeckt die ich sonst übersehen hätte top tool mit vielen funktionen und extras kann das nur empfehlen mal einen kostenlosen testzugang ausprobieren.
Insofern würde es mich doch schwer wundern.
ma so gesehen, die könnten deine page auch so scannen ohne dass du des machst, also ?
Ich würde eher sagen, wer behauptet, sein Server wäre sicher, ist eher sehr dumm und naiv oder lügt!
Weise argumentieren willst, dann beauftragst Du auch keine Firma, Dir eine Alarmanlage in
Deinem Haus zu verbauen oder schleifst Dir Türschlösser und Schlüssel selber ...
Es geht hier immerhin darum, dass es nicht »irgendein Fremder« ist, sondern eine Firma, die
Du für Geld beauftragt hast und mit der Du einen Vertrag abschließen wirst, der Dir versichert,
dass mit den Daten vertraulich umgegangen wird. Du hast also jemanden an der Hand, falls Du
Missbrauch witterst.
Ich finde diese paranoide Grundeinstellung langsam auch etwas anstrengend.
Das man sicherer ist wenn man es in die eigene Hand nimmt ist klar. Daß man nicht alles in die eigene Hand nehmen kann ist auch klar. Man ist halt schon gezwungen ein gewisses Vertrauen in Firmen/Software zu haben. Ich persönlich denke OpenSource-Software bietet da die größte Möglichkeit mein Vertrauen zu erlangen (nein ich lese mir nicht jede Codezeile durch, um potentielle Gefahren zu finden, aber die Möglichkeit, daß man könnte wenn man wollte, schafft Vertrauen).
Das wäre meiner Meinung auch der Ansatz wie solch eine Anwendung Vertrauen hervorbringen könnte. Das heißt eine Applikation, deren Quelltext offen ist und die ich auf meinem bzw. einem Rechner meiner Wahl installieren kann die dann die Websites scannt ...
Vertrauen ist gut, Kontrolle ist besser
Nicht in dem Sinne daß man alles kontrolliert, aber daß man könnte wenn man wollte.
Daß das ein wenig paranoid ist hab ich ja erwähnt, aber das gehört doch zum Streben nach Sicherheit in gewissem Maße dazu, und kann doch auch förderlich sein.
jeder der jetzt nicht weiss wie ich von dem thema auf das thema arbeit komme, der sollte mal aus seinem keller kommen!
Das käme raus und dann wäre nicht nur die Geschäftsgrundlage futsch. Stichwort Computersabotage, das dürfte dann teuer werden.
Ultimativ kommst Du mit derlei Überlegungen übrigens an den Punkt, daß Du Dir einen Compiler selbst schreibst (in Maschinencode), mit dem Du dann die restlichen (selbstgeschriebenen bzw. anhand des Quellcodes überprüften) Teile Deines Betriebssystems kompilierst...
Wie ich gerade sehe, meint Wikipedia (http://de.wikipedia.org/wiki/Chorizo) das Gleiche...
> Immer wieder ließen sich in der Vergangenheit Schwachstellen in Web-Anwendungen finden, die von böswilligen Serverbetreibern ausgenutzt werden konnten. Eine ganze Reihe dieser Probleme kann von Chorizo! gefunden werden, darunter Cross-Site-Scripting (XSS), SQL-Injection, Ausführen von beliebigem Code des Webseitenbetreibers auf dem Client und AJAX-Fehler.
"Bösartige Serverbetreiber"? Hmm, also um Web-Schwachstellen auszunutzen, braucht man keinen Server. Hab auch noch nie gehört, dass es so was gibt - das ist doch genau die andere Seite, also die, welche solche Angriffe fürchten?
"AJAX-Fehler"? Ajax ist doch nur ne weitere Art, Web-Requests zu senden und Responses zu empfangen. Daraus können IMHO doch keine neuen Fehler entstehen? Oder sind hier offene SOAP-Schnittstellen gemeint? Naja, das ist auch nichts neues. Also warum hier Ajax erwähnt wird, kann ich nciht nachvollziehen ...
Cheers!
es ist ziemlich schwierig bzw. zu aufwändig, manuell XMLHttpRequests zu prüfen.
Über die Proxy-Variante geht das jedoch leicht ... XMLHttpRequests laufen ja im
Hintergrund ab.
Grüße, Björn.
ich habe das System grade mal getestet es hat in meiner Programmierung 2 Fehler entdeckt die ich sonst übersehen hätte
top tool mit vielen funktionen und extras kann das nur empfehlen mal einen kostenlosen testzugang ausprobieren.
mfg
Nils