Warum erfindet auch heute noch jemand Protokolle, die auf Authentifizierung verzichten? Die Argumentation ist häufig die gleiche: "In unserem speziellen Fall ist das verzichtbar."
Beispiele:
- Konfigurationsänderung für alle über das Internet: Ist ja sicher, weil es nur vom Provider aus funktioniert. Doof, wenn man die Firewall-Regel vergisst, oder jemand die IP-Adresse fälscht.
- Auto öffnen mit BMW Connected Drive. Ist ja sicher, weil es über das Funknetz geht. Doof, wenn jemand ein eigenes Taschen-Funknetz aufbaut.
Ich bin mal gespannt, wie der Fix aussieht. Wenn da nicht der Port "geschlossen" wird sonder nur der User-Input validiert wird bleiben zig Exploits drin. ZUm Beispiel trag ich dann einen eigenen "gĂĽtigen" DNS-Server ein: Damit kann ich dann z.B. die SOP-Policy auf Websites umgehen.