Laden...

Frage zur Sicherheit

Erstellt von Rabenschwinge vor 14 Jahren Letzter Beitrag vor 14 Jahren 796 Views
R
Rabenschwinge Themenstarter:in
27 Beiträge seit 2008
vor 14 Jahren
Frage zur Sicherheit

Hallo zusammen!

Also folgendes Problem: wir haben einen Mitarbeiter der bei einem nicht ganz kleinen Projekt einen Teil der Programmierung gemacht hat.

Dieser Mitarbeiter wurde nun wegen einiger Vorfälle mit Kunden entlassen. Ihr könnt euch sicherlich vorstellen, dass es da viel böses Blut gegeben hat.

Nun der langen Rede kurzer Unsinn: der gute kennt den kompletten Code und ich möchte fast darauf wetten, dass er auch noch irgendwo eine Kopie hat.

Kann man ASP.NET Seiten leicht angreifen, wenn der Code bekannt ist? Leicht heißt in diesem Fall ohne groß Ahnung von Angriffen zu haben oder Schwachstellen des Servers auszunutzen?

Gruß der Rabe

1.457 Beiträge seit 2004
vor 14 Jahren

Hallo Rabenschwinge,

So eine Frage kann man schlecht beantworten. Es liegt ja auch an den Programmierer ob er nicht alle Regeln beachtet hat. Desweiteren weiß man natürlich nicht ob er vielleicht ein "Hintertürchen" eingebaut hat. Das sind alles so sachen die man überprüfen muss.

Wenn ist ein Versionskontrollsystem einsetzt dann kann man sich ja die Änderungen von diesem Nutzer anschauen z.B..

X
1.177 Beiträge seit 2006
vor 14 Jahren

huhu,

Kann man ASP.NET Seiten leicht angreifen, wenn der Code bekannt ist?

Das ist der falsche Ansatz. Sicherheit darf nicht darauf basieren, dass jemand den Code nicht kennt. Es muss immer davon ausgegangen werden, dass z.B. ein böser Angreifer sowohl den Code als auch die Daten kennt, aber trozdem nicht an die gespeicherten Kennwörter in den Daten herankommt.

Es gibt keine 100% Sicherheit, aber man kann nahe hinkommen, wenn man elementare Dinge beachtet, z.B. bei SQL-Abfragen Parameter verwenden, dann gibt es garantiert keine SQL-Injection (Die Tips mit dem "ausmaskieren" sind völliger Blödsinn. Ich mache eine Eingabe nicht sicherer, indem ich vorhandene Apostrophe Quote), Kennwörter mit einem guten Algorithmus hashen (MD5 ist nicht für Kennwörter da, wird aber immer als Tipp genannt) usw.

Wenn Ihr Fehler in eurem Programm habt, die der ehemalige Mitarbeiter kennt und die es ihm ermöglichen deswegen "einzubrechen" dann solltet ihr die Fehler suchen.

😃

xynratron

Herr, schmeiss Hirn vom Himmel - Autsch!

Die Erfahrung zeigt immer wieder, dass viele Probleme sich in Luft auslösen, wenn man sich den nötigen Abstand bzw. Schlaf gönnt.

R
Rabenschwinge Themenstarter:in
27 Beiträge seit 2008
vor 14 Jahren

Hoi!

also dann mal vielen Dank ihr beide, die Antworten beruhigen mich jetzt doch sehr, vor allem die Aussage von Xynratron:

Es muss immer davon ausgegangen werden, dass z.B. ein böser Angreifer sowohl den Code als auch die Daten kennt, aber trozdem nicht an die gespeicherten Kennwörter in den Daten herankommt.

Offensichtliche Sicherheitslecks hat der Code keine, auch Backdoors können wir ausschließen. Meine Sorge war nur, dass man anhand des Codes irgendwelche Schwachstellen "errechnen" kann.

Gruß der Rabe

K
488 Beiträge seit 2006
vor 14 Jahren

Also ich muss einfach nochmal hinzufügen:
Durch den Code kennst du, natürlich, jegliche Schwachstelle, sofern es welche gibt.
Gerade das Thema "SQL Injections" ist, wenn der Code bekannt ist, ein kinderspiel (Google: "SQL Injections Tutorial", jaja die technologie von heute).

Solltest du aber solche "Groben" Patzer vermieden haben, dürfte der Rest kein Problem darstellen.

Nur nebenbei erwähnt: Schalte in der DB, solltest du es nicht haben, einfach das Trace-Level hoch, so kannst du im Nachhinein, sollte es doch einen vermeindlichen Angriff geben, einfacher feststellen wodurch, wo das leck ist, wie man es behebt etc.

Das Leben is :ugly:

Verdammt, mach das Fenster zu, wer hat den Gamma-Wert so hoch gestellt?