Archiv der Kategorie: Begriffe

Herr, schmeiß Hirn vom Himmel!

Begriffe, IT, Security, , , , ,

Nach der WAF nun also die Datenbank-Firewall. Weil dämliche PHP-Programmierer nicht in der Lage sind, sicher auf Datenbanken zuzugreifen, soll GreenSQL zwischen Anwendung und Datenbank heuristisch SQL Injection erkennen. Die Idee ist so blöd, dass ich nicht mal beim szenetypischen Herumalbern darauf gekommen wäre.

Kernproblem bei Injection-Lücken ist die ungenügende Trennung zwischen Daten und Code in Verbindung mit dem Impedance Mismatch zwischen Programmier- und Datenbanksprache. Die kanonische Lösung besteht darin, eben diese Trennung zuverlässig aufrechtzuerhalten. Das lässt sich recht einfach bewerkstelligen, indem man eine geeignete Programmierschnittstelle − Prepared Statements statt Stringverkettung zu SQL-Statements − verwendet. Das kann zwar auch noch schiefgehen, wenn die Bibliotheksfunktion Fehler hat, aber wenigstens kann man sich selbst nicht mehr in den Fuß schießen.

Ist die Grenze zwischen Code und Daten einmal verwischt, steht die Datenbankfirewall vor exakt demselben Problem wie die Datenbank selbst: sie kann diese Grenze nicht mehr zuverlässig bestimmen. Konzeptionell ist die Datenbankfirewall deswegen genauso machtlos wie die Zugriffskontrolle der Datenbank. Sie versucht es nur mit einer anderen Strategie. Klüger wäre es, den Entwicklern ausschließlich sichere Schnittstellen zur Verfügung zu stellen.

Als Security-Theater allerdings dürfte so eine Datenbankfirewall hervorragend funktionieren, spuckt sie doch am laufenden Band Meldungen aus, die MovieOS alle Ehre machen würden: Hilfe, wir werden angegriffen!

Was ist eigentlich Identität?

Begriffe, Freundlich zum Nutzer, ID, , , , ,

Warum viele auf Identitätsmanagement abfahren und sich davon einen Sicherheitsgewinn erhoffen, habe ich mich schon früher gefragt. Ein Teilproblem dabei: was ist eigentlich die Identität einer Firma oder Organisation? Warum das ein Problem ist, illustrieren jetzt ausgerechnet Verbraucherschützer, die uns beim Schutz vor Phishing helfen möchten. Sie geben die üblichen Tipps – und illustrieren ihre Erklärung über SSL ausgerechnet mit einer URL-Zeile der Dresdner Bank:

Dresdner Commerzbank Privat oder so

Die ist seit kurzem eine Marke der Commerzbank, und das zeigt der Browser auch an. Formal ist das völlig korrekt, aber dem Bankkunden hilft diese zertifizierte Identitätsinformation nur bedingt weiter. Oder gelten SSL-Zertifikate nur in Verbindung mit Nachrichten aus dem Wirtschaftsteil?

Übrigens muss der arme Nutzer nicht nur zwischen Unternehmen und Marken unterscheiden, sondern auch zwischen echten und weniger echten Warnungen. Wer bei der Adresseingabe das Präfix www vergisst, dem macht die Technik unnötig Angst:

https://dresdner-privat.de

Auch dies ist formal völlig korrekt, hilft dem Nutzer aber nicht weiter. Er kann aus solchen Beobachtungen kein einfaches, konsistentes Sicherheitsmodell entwickeln. Verbraucherportale mit wohlmeinenden Tipps ändern daran nichts und lösen deshalb auch das Problem nicht.

»Minister Tatenlos«

Angst, Begriffe, Regierungsviertel, Risiko, , , ,

Schäublone-Erfinder Dirk Adler im Interview (via Isotopp) über die mutmaßlichen Motive des Innenministers:

»Ich glaube, er fürchtet sich davor nach einem Terroranschlag hier in Deutschland als Minister Tatenlos da zu stehen. Seine Verantwortung für die Sicherheit treibt ihn an alle möglichen Hebel in Bewegung zu setzen, ob sie nun die richtigen sind oder nicht.«

Ich nenne das mal vorläufig Visible Precaution Bias und meine damit die bereits früher beschriebene Tendenz verantwortlicher Amtsträger, sichtbar Vorsichtsmaßnahmen zu ergreifen, auch wenn diese Maßnahmen objektiv keinen Sinn haben.

Kennt jemand Ansätze im Risikomanagement, die solche Effekte berücksichtigen und systematisch korrigieren?