Aber es war immerhin keine SQL-Injection

Vor ein paar Jahren habe ich immer wieder die folgende Security-Dummaussage von Ahnungslosen gehört: »SQL-Injections sind ein häufiger und gefährlicher Angriff«. Und dann haben die Dummen und Ahnungslosen nicht etwa gesagt, dass man deshalb niemals unvorsichtig eine Benutzereingabe in einem SQL-Statement verwenden darf, dass man immer auf korrektes Quoting achten muss, dass man nach Möglichkeit bewährten Bibliothekscode verwenden sollte, der einem in dieser elementaren Sicherheitsangelegenheit unterstützt… sondern so etwas unsäglich Dummes wie »Mit eine NoSQL-Datenbank kann das nicht passieren«.

In der Tat, Herr Hirnamputiert, eine SQL-Injection ist damit nicht möglich.

Eine Security-Unfähigkeit der Größenordung »Die Datenbank nicht durch ein Passwort absichern, sondern quasi offen für jeden zugreifbar ins Internet stellen« kann dann aber immer noch dazu führen, dass die für einen Identitätsmissbrauch völlig hinreichenden Daten von 93 Millionen Wahlberechtigten in Mexiko veröffentlicht werden.

Dumme Antworten auf Probleme der Datensicherheit sind nämlich vor allem eines: Sie sind dumm.

Und dumme Antworten auf Probleme der Datensicherheit werden auch heute noch oft und gern gegeben, zum Beispiel vom Bundesamt für Sicherheit in der Informationstechnik (die Hervorhebung im folgenden Zitat ist von mir):

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der Hannover Messe eine Sicherheitsanalyse des Kommunikationsprotokolls OPC UA veröffentlicht. Dieser Industriestandard gilt als essenziell für eine sichere Kommunikation zwischen Maschinen (M2M). Laut BSI hat OPC UA keine systematischen Sicherheitslücken – zumindest auf dem Papier

Mit Verlaub, aber eine technische Spezifikation ist deutlich einfacher frei von Sicherheitslücken zu halten als ihre Implementation in Form von Software – es ist doch schön, dass das BSI uns einmal allen diese triviale Wahrheit erzählt hat, wenn auch auf eine Weise, die das Potenzial in sich trägt, einige Satiriker arbeitslos zu machen. Zu den Spätfolgen dieser Erzählweise empfehle ich, in den nächsten fünf Jahren die Nachrichten von »gehackten« Industrieanlagen in der Bundesrepublik Deutschland zu verfolgen.

Dieser Beitrag wurde unter Technisches abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.