Kommentare zu: TÜV SÜD Prüfsiegel & die bösen Sicherheitslücken http://blog.bf-itservice.de/238/tuev-sued-pruefsiegel-sicherheitsluecken Programmkot & Sicherheit Tue, 17 Aug 2010 04:35:24 +0000 hourly 1 http://wordpress.org/?v=3.0.1 Von: Jens Hagel http://blog.bf-itservice.de/238/tuev-sued-pruefsiegel-sicherheitsluecken/comment-page-1#comment-1035 Jens Hagel Tue, 17 Aug 2010 04:35:24 +0000 http://blog.bf-itservice.de/?p=238#comment-1035 Wir haben auch die Erfahrung gemacht, dass nach dem Erstellen von kundenspezifischen Skripts immer ein großer Teil in die Sicherheitsüberprüfung - besonders von PHP Skripts - fliessen muss. Wir haben auch die Erfahrung gemacht, dass nach dem Erstellen von kundenspezifischen Skripts immer ein großer Teil in die Sicherheitsüberprüfung – besonders von PHP Skripts – fliessen muss.

]]> Von: Erneutes Datenschutzleck bei SchülerVZ http://blog.bf-itservice.de/238/tuev-sued-pruefsiegel-sicherheitsluecken/comment-page-1#comment-973 Erneutes Datenschutzleck bei SchülerVZ Tue, 04 May 2010 07:57:36 +0000 http://blog.bf-itservice.de/?p=238#comment-973 [...] massiven Sicherheitsproblemen mit dem TÜV-Siegel für Datenschutz, das bereits im Zusammenhang mit Libri und anderen als fragwürdig in die einschlägigen Medien gekommen war. Zudem gab sogar die Stiftung Warentest [...] [...] massiven Sicherheitsproblemen mit dem TÜV-Siegel für Datenschutz, das bereits im Zusammenhang mit Libri und anderen als fragwürdig in die einschlägigen Medien gekommen war. Zudem gab sogar die Stiftung Warentest [...]

]]> Von: TÜV-Siegel für soziale VZ-Netzwerke » Tüv, Daten, Siegel, Tüv-Siegel, Sicherheit, Lücken » webwork-magazin.net http://blog.bf-itservice.de/238/tuev-sued-pruefsiegel-sicherheitsluecken/comment-page-1#comment-884 TÜV-Siegel für soziale VZ-Netzwerke » Tüv, Daten, Siegel, Tüv-Siegel, Sicherheit, Lücken » webwork-magazin.net Wed, 20 Jan 2010 11:47:33 +0000 http://blog.bf-itservice.de/?p=238#comment-884 [...] für das Internet nicht gibt, allenfalls eine eventuelle Sicherheit und das hat Benjamin Flesch vom IT-Services Blog der sich  die Sache mit den Prüfsiegeln vom Tüv einmal und wie er sagt – rein privat – [...] [...] für das Internet nicht gibt, allenfalls eine eventuelle Sicherheit und das hat Benjamin Flesch vom IT-Services Blog der sich  die Sache mit den Prüfsiegeln vom Tüv einmal und wie er sagt – rein privat – [...]

]]> Von: NetNexus http://blog.bf-itservice.de/238/tuev-sued-pruefsiegel-sicherheitsluecken/comment-page-1#comment-873 NetNexus Tue, 29 Dec 2009 21:00:35 +0000 http://blog.bf-itservice.de/?p=238#comment-873 Habe auch bereits die Erfahrung gemacht, das sehr viele (auch große) Seiten anfällig für XSS sind. Je nach dem wie sauber gearbeitet wurde ist es aber sehr aufwänidg alle Lücken zu finden und zu schließen. Eine sehr brauchbare, praxisnahe, und unkomplizierte Lösung kann da PHPIDS bieten (http://php-ids.org/). Vor allem ist es auch recht einfach in bereits existierende Systeme einzubinden. Habe auch bereits die Erfahrung gemacht, das sehr viele (auch große) Seiten anfällig für XSS sind.
Je nach dem wie sauber gearbeitet wurde ist es aber sehr aufwänidg alle Lücken zu finden und zu schließen.

Eine sehr brauchbare, praxisnahe, und unkomplizierte Lösung kann da PHPIDS bieten (http://php-ids.org/). Vor allem ist es auch recht einfach in bereits existierende Systeme einzubinden.

]]> Von: Beni http://blog.bf-itservice.de/238/tuev-sued-pruefsiegel-sicherheitsluecken/comment-page-1#comment-827 Beni Thu, 05 Nov 2009 19:09:13 +0000 http://blog.bf-itservice.de/?p=238#comment-827 Dankeschön für die netten Kommentare! @Nico: Ja, aber irgendwo muss man ja anfangen mit dem unkenntlichmachen. Wenn jemand "vom Fach" weiß, dass sich die Suche nach einer Lücke lohnt dann wird er sie wohl auch finden ;-) @Alex: Ein weiteres Problem ist die starke Veränderung einer Homepage in der Zeit zwischen den jährlichen TÜV-Prüfungen. Darauf kann natürlich unmöglich jedesmal jemand von den IT-Sicherheitsleuten des TÜV einen Blick drauf werfen, wenn beim Kunden neuer Code deployed wird. @Lonesome Walker: Haha, vielen Dank ich werde ein Auge drauf werfen! :-) @kiddie2: .. frei nach dem Motto IMMD, abgewandelt von YMMD. :o) Dankeschön für die netten Kommentare!

@Nico: Ja, aber irgendwo muss man ja anfangen mit dem unkenntlichmachen. Wenn jemand “vom Fach” weiß, dass sich die Suche nach einer Lücke lohnt dann wird er sie wohl auch finden ;-)

@Alex: Ein weiteres Problem ist die starke Veränderung einer Homepage in der Zeit zwischen den jährlichen TÜV-Prüfungen. Darauf kann natürlich unmöglich jedesmal jemand von den IT-Sicherheitsleuten des TÜV einen Blick drauf werfen, wenn beim Kunden neuer Code deployed wird.

@Lonesome Walker: Haha, vielen Dank ich werde ein Auge drauf werfen! :-)

@kiddie2: .. frei nach dem Motto IMMD, abgewandelt von YMMD. :o )

]]> Von: Nico http://blog.bf-itservice.de/238/tuev-sued-pruefsiegel-sicherheitsluecken/comment-page-1#comment-825 Nico Wed, 04 Nov 2009 08:55:38 +0000 http://blog.bf-itservice.de/?p=238#comment-825 wenn du schon die Lücke unkenntlich machst, dann mach es doch richtig. Man kommt viel zu einfach drauf, wie es geht. Trotzdem gut geforscht. schönen Gruß Nico wenn du schon die Lücke unkenntlich machst, dann mach es doch richtig. Man kommt viel zu einfach drauf, wie es geht. Trotzdem gut geforscht.

schönen Gruß
Nico

]]> Von: Alex http://blog.bf-itservice.de/238/tuev-sued-pruefsiegel-sicherheitsluecken/comment-page-1#comment-824 Alex Mon, 02 Nov 2009 09:09:04 +0000 http://blog.bf-itservice.de/?p=238#comment-824 Sehr schön, aber Du kratzt nur an der Oberfläche. Genauso leicht wie sich XSS finden läßt, läßt es sich auch vermeiden. Die eigentliche Frage ist aber, warum überhaupt Lücken entstehen können. Da setzt das TÜV-Siegel mit einer "extremely-light", sozusagen "Security-ZERO"-Anforderung aus der ISO27001 (etc) an - es soll ein Sicherheitskonzept geben. Super. Aus meiner bescheidenen Erfahrung weiß ich nun zu berichten, daß dort das eigentliche Problem ist. Wenn Sicherheit "vom Management" als "Problem" wahrgenommen wird (weil der Dienst dann komplizierter wird), dann - hat man bald Probleme. Sehr schön, aber Du kratzt nur an der Oberfläche. Genauso leicht wie sich XSS finden läßt, läßt es sich auch vermeiden.
Die eigentliche Frage ist aber, warum überhaupt Lücken entstehen können. Da setzt das TÜV-Siegel mit einer “extremely-light”, sozusagen “Security-ZERO”-Anforderung aus der ISO27001 (etc) an – es soll ein Sicherheitskonzept geben. Super.
Aus meiner bescheidenen Erfahrung weiß ich nun zu berichten, daß dort das eigentliche Problem ist. Wenn Sicherheit “vom Management” als “Problem” wahrgenommen wird (weil der Dienst dann komplizierter wird), dann – hat man bald Probleme.

]]> Von: „Sicherheit“ mit TÜV-Siegel bei GMX « Zivilschein http://blog.bf-itservice.de/238/tuev-sued-pruefsiegel-sicherheitsluecken/comment-page-1#comment-823 „Sicherheit“ mit TÜV-Siegel bei GMX « Zivilschein Sat, 31 Oct 2009 14:52:51 +0000 http://blog.bf-itservice.de/?p=238#comment-823 [...] GMX „sicher aufgehoben sind, hat jetzt der TÜR Rheinland [...] bestätigt“? Der TÜV? DER TÜV?!? Alle Achtung, mein GMX Team! Solche Worte an einen Kunden zu richten zeugt vor dem Hintergrund [...] [...] GMX „sicher aufgehoben sind, hat jetzt der TÜR Rheinland [...] bestätigt“? Der TÜV? DER TÜV?!? Alle Achtung, mein GMX Team! Solche Worte an einen Kunden zu richten zeugt vor dem Hintergrund [...]

]]> Von: script kiddie2 http://blog.bf-itservice.de/238/tuev-sued-pruefsiegel-sicherheitsluecken/comment-page-1#comment-822 script kiddie2 Sat, 31 Oct 2009 11:42:47 +0000 http://blog.bf-itservice.de/?p=238#comment-822 ich lese oben "Dies sind die Momente, die das Leben wieder lebenswert machen".....betonung auf "wieder". Na wenigstens ein highlight in deinem leben :-) ich lese oben “Dies sind die Momente, die das Leben wieder lebenswert machen”…..betonung auf “wieder”. Na wenigstens ein highlight in deinem leben :-)

]]> Von: Lonesome Walker http://blog.bf-itservice.de/238/tuev-sued-pruefsiegel-sicherheitsluecken/comment-page-1#comment-821 Lonesome Walker Fri, 30 Oct 2009 22:11:55 +0000 http://blog.bf-itservice.de/?p=238#comment-821 *sehrbreitgrins* Daß das TÜV-Siegel und auch die vielen anderen Zertifizierungen was für die Management-Abteilungen sind, ist doch spätestens ab dem Zeitpunkt klar, ab dem gewisse TÜV-Stellen sogar damit werben, sich selbst zu verkaufen. Beweise? service-tested.de/tuev-pruefsiegel/ Somit konnte sich auch ein namhaftes Inkasso-Unternehmen so ein Ding zwecks "geprüftem Inkasso" auf die Seite kleben, und nebenher dennoch fleißig für Abzockseiten wie downcenter.de und Co. das Geld eintreiben... Und Sicherheitslücken auf schlecht umgesetzten, weil von unterbezahlten Programmierern erschaffenen Portalen zu finden, da solltest Du auch mal beim Korinthenkacker vorbeigucken (guck ma in meine Blogroll, der hat da eine eigene Rubrik dafür; war auch schon die Telekom zu Gast ^^ )... *sehrbreitgrins*

Daß das TÜV-Siegel und auch die vielen anderen Zertifizierungen was für die Management-Abteilungen sind, ist doch spätestens ab dem Zeitpunkt klar, ab dem gewisse TÜV-Stellen sogar damit werben, sich selbst zu verkaufen.

Beweise?

service-tested.de/tuev-pruefsiegel/

Somit konnte sich auch ein namhaftes Inkasso-Unternehmen so ein Ding zwecks “geprüftem Inkasso” auf die Seite kleben, und nebenher dennoch fleißig für Abzockseiten wie downcenter.de und Co. das Geld eintreiben…

Und Sicherheitslücken auf schlecht umgesetzten, weil von unterbezahlten Programmierern erschaffenen Portalen zu finden, da solltest Du auch mal beim Korinthenkacker vorbeigucken (guck ma in meine Blogroll, der hat da eine eigene Rubrik dafür; war auch schon die Telekom zu Gast ^^ )…

]]>