Kommentare zu: TÜV SÜD Prüfsiegel & die bösen Sicherheitslücken

Von: Ein Abend in der Boell-Stiftung | stk

Ein Abend in der Boell-Stiftung | stk — Sat, 11 Sep 2010 08:12:57 +0000

[...] den Daten verfaehrt und was damit passiert. Wer das tut, erhaelt eine staatliche Zertifizierung (und jeder weiss ja, dass solche Siegel total toll sind!) und ist damit offiziell [...]

Von: Jens Hagel

Jens Hagel — Tue, 17 Aug 2010 04:35:24 +0000

Wir haben auch die Erfahrung gemacht, dass nach dem Erstellen von kundenspezifischen Skripts immer ein großer Teil in die Sicherheitsüberprüfung – besonders von PHP Skripts – fliessen muss.

Von: Erneutes Datenschutzleck bei SchülerVZ

Erneutes Datenschutzleck bei SchülerVZ — Tue, 04 May 2010 07:57:36 +0000

[...] massiven Sicherheitsproblemen mit dem TÜV-Siegel für Datenschutz, das bereits im Zusammenhang mit Libri und anderen als fragwürdig in die einschlägigen Medien gekommen war. Zudem gab sogar die Stiftung Warentest [...]

Von: TÜV-Siegel für soziale VZ-Netzwerke » Tüv, Daten, Siegel, Tüv-Siegel, Sicherheit, Lücken » webwork-magazin.net

Wed, 20 Jan 2010 11:47:33 +0000

[...] für das Internet nicht gibt, allenfalls eine eventuelle Sicherheit und das hat Benjamin Flesch vom IT-Services Blog der sich die Sache mit den Prüfsiegeln vom Tüv einmal und wie er sagt – rein privat – [...]

Von: NetNexus

NetNexus — Tue, 29 Dec 2009 21:00:35 +0000

Habe auch bereits die Erfahrung gemacht, das sehr viele (auch große) Seiten anfällig für XSS sind.
Je nach dem wie sauber gearbeitet wurde ist es aber sehr aufwänidg alle Lücken zu finden und zu schließen.

Eine sehr brauchbare, praxisnahe, und unkomplizierte Lösung kann da PHPIDS bieten (http://php-ids.org/). Vor allem ist es auch recht einfach in bereits existierende Systeme einzubinden.

Von: Beni

Beni — Thu, 05 Nov 2009 19:09:13 +0000

Dankeschön für die netten Kommentare!

@Nico: Ja, aber irgendwo muss man ja anfangen mit dem unkenntlichmachen. Wenn jemand “vom Fach” weiß, dass sich die Suche nach einer Lücke lohnt dann wird er sie wohl auch finden

@Alex: Ein weiteres Problem ist die starke Veränderung einer Homepage in der Zeit zwischen den jährlichen TÜV-Prüfungen. Darauf kann natürlich unmöglich jedesmal jemand von den IT-Sicherheitsleuten des TÜV einen Blick drauf werfen, wenn beim Kunden neuer Code deployed wird.

@Lonesome Walker: Haha, vielen Dank ich werde ein Auge drauf werfen!

@kiddie2: .. frei nach dem Motto IMMD, abgewandelt von YMMD. )

Von: Nico

Nico — Wed, 04 Nov 2009 08:55:38 +0000

wenn du schon die Lücke unkenntlich machst, dann mach es doch richtig. Man kommt viel zu einfach drauf, wie es geht. Trotzdem gut geforscht.

schönen Gruß
Nico

Von: Alex

Alex — Mon, 02 Nov 2009 09:09:04 +0000

Sehr schön, aber Du kratzt nur an der Oberfläche. Genauso leicht wie sich XSS finden läßt, läßt es sich auch vermeiden.
Die eigentliche Frage ist aber, warum überhaupt Lücken entstehen können. Da setzt das TÜV-Siegel mit einer “extremely-light”, sozusagen “Security-ZERO”-Anforderung aus der ISO27001 (etc) an – es soll ein Sicherheitskonzept geben. Super.
Aus meiner bescheidenen Erfahrung weiß ich nun zu berichten, daß dort das eigentliche Problem ist. Wenn Sicherheit “vom Management” als “Problem” wahrgenommen wird (weil der Dienst dann komplizierter wird), dann – hat man bald Probleme.

Von: „Sicherheit“ mit TÜV-Siegel bei GMX « Zivilschein

„Sicherheit“ mit TÜV-Siegel bei GMX « Zivilschein — Sat, 31 Oct 2009 14:52:51 +0000

[...] GMX „sicher aufgehoben sind, hat jetzt der TÜR Rheinland [...] bestätigt“? Der TÜV? DER TÜV?!? Alle Achtung, mein GMX Team! Solche Worte an einen Kunden zu richten zeugt vor dem Hintergrund [...]

Von: script kiddie2

script kiddie2 — Sat, 31 Oct 2009 11:42:47 +0000

ich lese oben “Dies sind die Momente, die das Leben wieder lebenswert machen”…..betonung auf “wieder”. Na wenigstens ein highlight in deinem leben