Zitat: Original von Trineas
Weil sich gezeigt hat, dass man den Entwicklern nicht trauen kann. Deshalb war es aber keine Sicherheitslücke. Wenn du Leute zu dir nach Hause einlädst, dann öffnest du damit ja auch keine Sicherheitslücke. Du vertraust darauf, dass die sich ordentlich verhalten, schließlich sind das deine Bekannten. Wenn nun einer von ihnen Sachen mitgehen lässt, wirst du ihn in Zukunft nicht mehr einladen, aber niemand wird dir vorwerfen, dass du irgendein unverantwortbares Risiko eingegangen bist, da es ein ganz normales Verhalten ist Leute einzuladen. Und genauso ist es ein normales Verhalten, seinen Entwicklungspartnern entsprechende Tools zur Verfügung zu stellen. Aus gutem Grund hat Valve diese Tools ja nicht allen Nutzern in die Hand gegeben, sondern nur den Geschäftspartnern, denen man vertraut(e). |
Traue niemandem. Und erst recht nicht, wenn es darum geht beliebigen Javascript-Code auf deiner Webseite zu hinterlassen. Sogar Banken untersuchen eingehende Buchungen anderer Banken auf potenziell verdächtigen Krempel wie Injections oder eben XSS....
Zitat: Original von Trineas Laut deiner Logik wäre es nämlich jetzt immer noch eine Sicherheitslücke, weil weiterhin Valve-Mitarbeiter Zugriff darauf haben und schädlichen Code ausführen könnten. Oder kannst du garantieren, dass ein Valve-Mitarbeiter das niemals machen würde oder dass sein Account nicht kompromittiert werden kann? Niemand kann das, man kann nur das Risiko auf ein sinnvolles Maß reduzieren. Bisher ging man davon aus, dass dies auch Entwicklungspartner beinhaltet, nun sieht man das anders. |
Programmierer werden in ihrer Tätigkeit überwacht. Für kritische Softwware gibt es in jedem guten Unternehmen Code-Reviews. Außerdem gibt es eine Versionverwaltung mit der sich einwandfrei nachvollziehen lässt wer, was wann programmiert hat. Wenn du fremden Leuten ein script-tag in die Hand drückst, dann kannst du schlichtweg nicht mehr nachvollziehen was wann wo ausgeführt wurde. Der vergleich scheitert also allein schon an diesem Punkt. Außerdem gibt es IMMER einen Unterschied zwischen einem internen und einem externen Entwickler, wenn es um vertrauen geht.
Zitat: Original von Trineas Aber deshalb war und ist es keine Sicherheitslücke. Das war eine bewusste Einschätzung und Entscheidung, kein Versehen oder Bug oder sonst etwas. |
Um in deinem Vergleich zu bleiben: Du lädst nicht einfach nur Freunde zu dir ein. Du gibst all deinen Party-Bekanntschaften einen Schlüssel für deinen Dienstwagen, mit der Bitte doch bitte nicht zu schnell damit zu fahren. Und erst als einer deiner "Freunde" mit 120 durch die Innenstadt fährst, stellst du fest dass das vielleicht nicht klug war.