[sage] IE und Self-Signed Certificates ?
Joerg Mertin
smurphy at solsys.org
Tue Oct 28 17:35:37 CET 2008
Danke fuer die "Bezeichnung".
Allerdings habe ich lange gesucht - etwas einfaches, leichtes und sicheres
zu finden.
Als ich dann vor paar Jahren nichts gefunden hatte, dass meinen eigenen
Vorstelleungen (ja - meine Vorstellung) entsprach, und die software die
ich auf meiner Site hatte mehr und mehr Luecken aufwies (die ich dann
selbst gestopft habe), habe ich mich tatsaechlich dazu entschieden die
sache von Grund auf neu aufzuziehen. Bisher bin ich ganz zufrieden mit dem
was ich erreicht habe. Es funktionniert, tut was ich will, wie ich will,
und ich habe lange Zeit damit verbracht, mich mit vielen Menschen im
Sicherheitsbereich auch unterhalten, bevor ich die Grundstruktur der
WebSite eingigermassen designed habe - und umgesetzt habe. Und ich habe
lange genug im Sicherheitsbereich gearbeitet um eine ganze Menge an
Penetrations-Anwendungen getestet und angewandt zu haben. Danke der
Nachfrage.
Ich gebe dir recht - dass keine Software sicher ist. Aber nenne es
Arrogant - wenn ich es vorziehe, selbst fuer den Bockmist verantwortlich
zu sein - den ich selbst programmiert habe. Heutzutage werden naemlich die
meisten Anwendungen mit Sicht auf Funbktionalitaet und Design
Programmiert.
Und - wieviele "WebEntwickler" kennst du - die sich mit Betriebssystem,
System Administration und Netzwekr/System Sicherheit auskennen ? Nur
dieses Basiswissen verleitet schonmal dazu gewisse Fehler nicht zu machen.
Und wenn man dann auch ganz strikte Regeln bei der Programmierung
anwendet, z.B. im DocumentRoot nur die Dateien laest die tatsaechlich
gebraucht werden (Include Dateien haben da z.B. nichts zu suchen), dann
hat man schonmal eine ganze Menge potentieller Sicherheitsluecken
gestopft.
Wie oft hast du denn schon den Spruch gehoert: "Wenn's dir nicht passt,
mach es doch selbst" ?
<quote who="Dirk Wetter">
> Am 28.10.2008 16:47, Joerg Mertin schrieb:
>
>> Was webanwendungen angeht, so habe ich mittlerweile angefangen alles
>> selbst zu schreiben - da mit andere sachen nicht sicher genug
>> programmiert
>> wurden.
>
> Sorry, das klingt ziemlich arrogant, daran habe ich schon Berater-Teams
> scheitern sehen, denen ich was zugetraut habe.
>
> Ich weiß nicht, ob Du weißt, was für Böcke man alles schießen kann, mit
> der man
> Deine Webanwendung penetrieren kann. Nicht zuletzt sind Proggies zum
> WebAppSec
> testen komplex und teuer (und viele finden nur ein Bruchteil der Bugs).
>
>
> Cheers,
> Dirk
>
--
------------------------------------------------------------------------
| Joerg Mertin : smurphy at solsys.org (Home)|
| in Forchheim/Germany : smurphy at linux.de (Alt1)|
| Stardust's LiNUX System : |
| Web: http://www.solsys.org |
------------------------------------------------------------------------
PGP Fingerprint: AF0F FB75 997B 025F 4538 5AD6 9888 5D97 170B 8B7A
More information about the SAGE
mailing list