Hi,
vielleicht kennt Ihr die Vorträge zum Thema Sicherheit von Netanel Rubin zu Perl.
Die hier:
http://ift.tt/1Pixlkm
Ich habe mir die angeschaut und die Vorträge sind doch recht unterhaltsam und eindrucksvoll.
Ich selbst bin jetzt nicht so der Perl-Freak - weder besonders bewandert noch besonders begeistert von der Sprache. Er stützt sich ja auf das eine oder andere. Er behauptet z. B. dass "Perl" Skalare als sicher betrachtet und Listen, Arrays und Hashes als sicher betrachtet. Das wird seitens einiger Perl-Entwickler als totaler Bullsh|t abgelehnt und scheint in der Tat ein Fehler bei der Entwicklung des im Vortrag verwendeten Projektes - Bugzilla - zu sein, die für mich ein grober Verstoss gegen die Validierung von Benutzerdaten ist.
Die relevante Aussage beider Vorträge ist am Ende des 2. Vortrages die Beantwortung einer Zuschauerfrage:
Zuschauer: Funktioniert der Exploit auch im Taint-Mode?
Netanel: Nein
Keine Fragen mehr Herr Richter. Für mich als Perl-Rookie verwendet doch jeder, der eine INTERNET-Anwendung schreibt den Taint-Mode. Alles andere ist ein Spassprojekt. Schlussfolgerung: Der Vortrag ist im Sinne der Präsentation einer massiven Sicherheitslücke nicht relevant.
So und jetzt zur Wirklichkeit:
Insgesamt fand ich es sehr eindrucksvoll, wie schwach die Trennung zwischen einzelnen Funktionsargumenten ist und wie leicht man gezielt benachbarte Funktionsargumente komplett überschreiben kann.
Ich würde mal vermuten, dass weitverbreitete Programmierstile in Perl aus Unwissenheit in der Thematik eine riesige Masse an extremen Sicherheitslücken dadurch mit sich bringt. CGI.pm - was nach dem Vortrag von "der Perl-Community" als total veraltet bezeichnet wurde - ist konzeptionell total kaputt nicht absicherbar.
Persönlich ist ein Softwareprojekt, dass auf Perl basiert für mich mit diesem Wissen jetzt grundsätzlich erst mal ein hohes Sicherheitsrisiko.
Was haltet Ihr davon?
vielleicht kennt Ihr die Vorträge zum Thema Sicherheit von Netanel Rubin zu Perl.
Die hier:
http://ift.tt/1Pixlkm
Ich habe mir die angeschaut und die Vorträge sind doch recht unterhaltsam und eindrucksvoll.
Ich selbst bin jetzt nicht so der Perl-Freak - weder besonders bewandert noch besonders begeistert von der Sprache. Er stützt sich ja auf das eine oder andere. Er behauptet z. B. dass "Perl" Skalare als sicher betrachtet und Listen, Arrays und Hashes als sicher betrachtet. Das wird seitens einiger Perl-Entwickler als totaler Bullsh|t abgelehnt und scheint in der Tat ein Fehler bei der Entwicklung des im Vortrag verwendeten Projektes - Bugzilla - zu sein, die für mich ein grober Verstoss gegen die Validierung von Benutzerdaten ist.
Die relevante Aussage beider Vorträge ist am Ende des 2. Vortrages die Beantwortung einer Zuschauerfrage:
Zitat:
Zuschauer: Funktioniert der Exploit auch im Taint-Mode?
Netanel: Nein
So und jetzt zur Wirklichkeit:
- Es gibt viele Softwareprojekte, die Perl verwenden.
- Es gibt vermutlich viele Perl-Projekte, die den Taint-Mode nicht verwenden
- Es gibt vermutlich viele Softwareprojekte in Perl und anderen Sprachen, die Werte nicht sauber validieren
Insgesamt fand ich es sehr eindrucksvoll, wie schwach die Trennung zwischen einzelnen Funktionsargumenten ist und wie leicht man gezielt benachbarte Funktionsargumente komplett überschreiben kann.
Ich würde mal vermuten, dass weitverbreitete Programmierstile in Perl aus Unwissenheit in der Thematik eine riesige Masse an extremen Sicherheitslücken dadurch mit sich bringt. CGI.pm - was nach dem Vortrag von "der Perl-Community" als total veraltet bezeichnet wurde - ist konzeptionell total kaputt nicht absicherbar.
Persönlich ist ein Softwareprojekt, dass auf Perl basiert für mich mit diesem Wissen jetzt grundsätzlich erst mal ein hohes Sicherheitsrisiko.
Was haltet Ihr davon?
0 commentaires:
Enregistrer un commentaire