Programmier-Tutorials bringen zahlreiche Sicherheitslücken ins Web

Niemals und unter keinen Umständen sollte Beispiel-Code aus den zahlreichen verfügbaren Online-Tutorials einfach ungeprüft übernommen werden. Denn hier fängt man sich wesentlich schneller eine neue Sicherheitslücke ein, als man annehmen könnte. mehr... Quellcode, Code, Programmierung, Programmiersprache Quellcode, Code, Programmierung, Programmiersprache Quellcode, Code, Programmierung, Programmiersprache

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Das zeigt leider, wie oft Leute Code schreiben ohne wirklich verstanden zu haben was sie tun. Oft findet man im Code von Anwendungen noch die Domain "example.com"...
 
Ist doch das gleiche wie bei diesen Linuxanleitungen. Wo auch irgendwas in der Shell installiert wird und 90% wissen nicht was oder warum ;) Hauptsache es funktioniert zum Schluss.
 
Das Problem z.B. an StackOverFlow sind halt die historischen Einträge die in Google auf Grund der Suchanfrage ganz oben stehen. Das Problem kann behoben werden durch eine 6 Jahre alte Lösung. Das diese Lösung aber gegen den Compilers schon lange deprecated ist, steht dort aber nicht mehr. Dem User ist das natürlich egal, den sein Problem ist behoben.
 
117 (eventuell) kopierte Schwachstellen in dem gesamten auf GitHub einsehbarem Code? Das ist doch Nichts!
 
@Smedi: Die werden aber sicher nicht nach allen verfügbaren Tutorials gesucht haben, sondern nur nach einzelnen Stichproben. Da kann das schon viel sein.

"With under two dozen graph traversals generated from a handful of vulnerable tutorials, we obtained 820 code analogues of which 117 were found to be vulnerable." - heißt, die haben nach einer "Handvoll" Tutorials gesucht und da schon 117 Lücken gefunden. Das ist schon ziemlich viel.
 
@dodnet: Worauf ich eigentlich hinaus wollte ist, dass bei GitHub wirklich Tonnen an Projekten gelistet sind, die eigentlich nur ein Test waren, oder Miniprojekte von privaten Hobbyprogrammierern sind. Natürlich sind da Schwachstellen drin. Deswegen eine Pressemeldung rauszugeben und Tutorials anzuprangern ist dämlich.
 
Die Anleitungen um NodeJs als Dienst unter Linux zu starten sind alle durch und durch fehlerhaft bzw. einfach nicht fertig. Das Problem unter Linux ist, dass man Ports unter 1024 nur als root öffnen kann. Also wird NodeJs bei Systemstart einfach als root gestartet. Sollte mal NodeJs, eine Erweiterung oder der eigene Code eine Sicherheitslücke aufweisen ist man direkt mit root Rechten auf dem System unterwegs. NodeJs selber, hat die Möglichkeit den eigenen Prozess einem anderen Benutzer zuzuordnen (z.B. "www"), wird aber in nahezu allen Anleitung vergessen zu erwähnen. Ich will nicht wissen wie viele NodeJs Instanzen da draußen mit root Rechten unterwegs sind...
 
"Hierbei wurden 117 Schwachstellen identifiziert, die sich mit hoher Wahrscheinlichkeit auf das vermittelte Wissen von Online-Schulungen zurückführen ließen." ... alles klar. Die haben noch nicht nach Standard-Passwörtern geschaut.
Eine nette Überschrift ist es aber allemal.
 
... ein Tutorial hat mE nicht den Anspruch, letzten Bedinungen zu genügen. Es hat stattdessen den Anspruch, ein bzw das *Konzept* des zu vermittelnden Themas aufzuzeigen, und das bar weiterer bells + whistles.

Daß man zB nicht einfach ungeprüfte Eingabevariablen im Code übernehmen soll, muß man irgendwoher erfahren haben.

Wenn aber jetzt ein Tutorial kommt und ein BEISPIELscript zu irgendeinem Thema in "letzter" Absicherung abzubilden versucht, dann sieht am Ende kein Schwein durch, was das Tutorial überhaupt von einem wollte.

Man kann nicht die Autoren von Tutorials für die grassierende Inkompetenz von Möchtegern-Codern verantwortlich machen. Sonst müßte man auch Wikipedia verknacken für all die Hausaufgaben-Abkopierer.
 
@RalphS: Bring mal keinen auf dumme Gedanken gerade die Amis sind schnell dabei andere wegen der eigenen Faulheit und Dummheit zu Verklagen.
Siehe diverse Klagen da drüben wie McDonalds und heißer Kaffee.
Kommentar abgeben Netiquette beachten!
Einloggen