Okay, ich betreibe nur rudimentär Webentwicklung und kann nicht
wirklich mitreden. Aber wenn man sich allein schon anschaut, was für
ein Zeugs bei der Installation von Apache, PHP, was-weiß-ich-SQL etc.
heruntergeladen wird, muss man doch zumindest ein flaues Gefühl im
Magen bekommen. Haben heutige Entwickler für sowas das Gespür
verloren? Im Leben würde ich nicht auf die Idee kommen, darauf
aufbauend irgendwelche sicherheitsrelevanten Daten zu verwalten. Ich
leide beim besten Willen nicht am NIH-Syndrom, aber viele Köche
verderben nunmal den Brei. So eine Authentifizierungsgeschichte und
andere kritische Module würden bei mir auf separaten Servern liegen,
auf denen nichts weiter als ein nacktes Betriebssystem und die
absolut notwendingen Dinge laufen. Mit "absolut notwendig" meine ich
hier keine gigabytegroßen Frameworks und Scriptsammlungen von
zwölfundneunzig verschiedenen Hobbyprogrammierern, die einmal
monatlich bei Heise Security für Schlagzeilen sorgen. Wenn meine
Existenz davon abhinge hätten die Server nicht einmal eine
Netzwerkkarte (zumindest keine physikalisch mit dem Internet
verbundene) und wären lediglich per irgendeiner old-fashioned
seriellen Schnittstelle mit den eigentlichen Webservern verbunden, um
noch das "Risiko" TCP/IP-Stack auszuschließen. Gerade die
Unternehmen, die es in jüngerer Vergangenheit erwischt hat, sollten
über die Mittel verfügen, kritische Dinge selbst zu entwickeln und
keine völlig überladenen all-in-one Open-Source-Produkte als
eierlegende Wollmilchsau zu mißbrauchen.
wirklich mitreden. Aber wenn man sich allein schon anschaut, was für
ein Zeugs bei der Installation von Apache, PHP, was-weiß-ich-SQL etc.
heruntergeladen wird, muss man doch zumindest ein flaues Gefühl im
Magen bekommen. Haben heutige Entwickler für sowas das Gespür
verloren? Im Leben würde ich nicht auf die Idee kommen, darauf
aufbauend irgendwelche sicherheitsrelevanten Daten zu verwalten. Ich
leide beim besten Willen nicht am NIH-Syndrom, aber viele Köche
verderben nunmal den Brei. So eine Authentifizierungsgeschichte und
andere kritische Module würden bei mir auf separaten Servern liegen,
auf denen nichts weiter als ein nacktes Betriebssystem und die
absolut notwendingen Dinge laufen. Mit "absolut notwendig" meine ich
hier keine gigabytegroßen Frameworks und Scriptsammlungen von
zwölfundneunzig verschiedenen Hobbyprogrammierern, die einmal
monatlich bei Heise Security für Schlagzeilen sorgen. Wenn meine
Existenz davon abhinge hätten die Server nicht einmal eine
Netzwerkkarte (zumindest keine physikalisch mit dem Internet
verbundene) und wären lediglich per irgendeiner old-fashioned
seriellen Schnittstelle mit den eigentlichen Webservern verbunden, um
noch das "Risiko" TCP/IP-Stack auszuschließen. Gerade die
Unternehmen, die es in jüngerer Vergangenheit erwischt hat, sollten
über die Mittel verfügen, kritische Dinge selbst zu entwickeln und
keine völlig überladenen all-in-one Open-Source-Produkte als
eierlegende Wollmilchsau zu mißbrauchen.