Hello,

Diesen Raum halte ich für unersetzlich, aber Chetah wird mir zustimmen, wenn es dabei um sicherheits*kritische* Belange geht, ist "Try & Error" nicht angebracht, sondern einzig und allein das überlegte _Vor_überlegen.

Trial & Error ist sehr wohl wichtig, um sich _gerade_ sicherheitsrelevante Dinge klarzumachen. Manchmal liegt der Versuch dann aber auch darin, genau die Lücke zu finden, um sie dann gezielt bekämpfen zu können. Aber dazu sind die meistens Gelegenheitsprogrammierer und leider auch viele berufliche viel zu faul. Man nimmt gerne das erste Ergebnis, das "funzt"[1].

Allerdings muss man diese Versuche auf abgesicherten Systemen (Inselbetrieb) machen und nicht im öffentlich zugänglichen Bereich. Der Aufwand nervt dann schon mal. Ich denke nur an die Vorbereitungsarbeiten zu meinen Versuchen zum Safe-Mode. Mal eben dem Testserver beizubringen, dass er nun mehrere virtual Hosts hat, damit der eine im safe_mode laufen kann und der andere nicht... Ok, man lernt immer was dazu.

An den eigentlichen Versuchen sitze ich immer noch und musste dabei schon einige böse Lücken in der Dokumentation (englisch + deutsch) von PHP feststellen. Die Dokuschreiber wissen viele Dinge manchmal, glaube ich, auch selber nicht so ganz genau oder es ist ihnen im Moment nicht bewußt, was sie da weglassen.

Und wenn man dann selber Dinge dokumentiert steckt immer die Angst im Nacken, selber Fehler zu machen und andere dadurch (unwillentlich) zu gefährden.

[1] hier mal ganz bewußt das Wort benutzt, das ich momentan am meisten
    bekämpe, weil mir schlecht davon wird

Liebe Grüße aus http://www.braunschweig.de

Tom