nicht angemeldet
Hi EKKI,
Nein. Wenn Du belegen kannst, dass Du z.B. alle üblichen, sich im Rahmen des (finanziell) Vertretbaren befindlichen Sicherheitsvorkehrungen getroffen hast, wieso solltest Du dann die Arschkarte haben?
Frage ist trotzdem. Wo fängst an und wo hörst auf? Ich hab Dir ja schon beschrieben, was ich absichere. Aber wer weiß schon, ob das ausreicht oder nicht?
Dummerweise gehört dazu aber IMHO z.B. auch, prinzipielle Gefahren wie "ich mache von manipulierbaren Benutzereingaben abhängig, ob und wie Daten geändert werden können" abzuwenden. Wenn sich ein Datensatz auf dem Server in einem definierten Zustand des "Nicht-geändert-werden-dürfens" befindet, dann muss vollkommen egal sein, was irgendwelche Benutzer oder Schlitzohren irgendwo eintippen bzw. irgendwie manipulieren ... der Datensatz wird einfach deshalb nicht geändert, weil auf dem Server die Information vorhanden ist, dass er nicht geändert werden darf.
Nur, darum ging es in diesem Thread nie. Änderung der Daten war ohnehin ausgeschlossen, es ging lediglich darum, dass der User das identische Formular zu sehen bekommt und aus diesem ein weiterer Datensatz generiert wird. Und hierfür hätte ich mir ein "readonly" für einige Formularelemente gewünscht.
Jder Code kann gehackt werden, wußtest Du das nicht?
Schon. Aber darum geht es gerade nicht. Es geht darum, einfachste und grundlegende Prinzipien der Formularverarbeitung mittels Webtechnologien, die schon vor 15 Jahren galten, zu verstehen und umzusetzen.
Nein, genau DARUM geht es gerade nicht. Es geht um die Einstellung zu diesem Thema.
Es wäre durchaus denkbar, dass Dir eine eventuelle Mitschuld angelastet wird, wenn ein findiger Mitarbeiter eines Kunden es z.B. geschafft hat, ein von Dir geschaffenes System zu überlisten und z.B. größere Datenbestände zu vernichten.
Wie krank ist die Denkweise hier?
Es gelingt mir doch in 1000 anderen Bereichen auch, funktionierende Systeme zu zerstören oder "zu überlisten". Und auch da wird nicht zwingend die (Mit)schuld beim Hersteller gesucht.
Mein Problem hierbei ist: Ich setze genau gem. dieser kranken Denkweise um. Aber mir stinkt sie, diese Art zu denken.
In good old G. sicher. Muß ich Dir zustimmen. Aber in einem Rechtsstaat auch?
Definiere "Rechtsstaat".
Definiere Grundgesetz.
Abgesehen natürlich davon, dass derart "schlampig" programmierte Anwendungen normalerweise *NIEMALS* irgendeine Form von Zertifikat erhalten werden
Was denn? Kein Jodeldiplom? Kein Gar nix? Oweia... *g*
Du magst darüber schmunzeln ...
Mir persönlich sind Fälle bekannt, in denen Kapitalgesellschaften das Testat des prüfenden Wirtschaftsprüfers unter dem Jahresabschlusses verweigert bzw. nur mit Einschränkungen gegeben wurde - weil
Mir persönlich sind unzählige Fälle bekannt, wo sich Entscheidungsträger sich hinter irgendwelchen "Vorschriften" verschanzen und diese für ihre Entsheidungen anführen. Diese werden dadurch nicht zwingend richtig.
Nein. Das ist - insbesondere im Fall des Internets - das Mindestmaß an Sorgfalt, das man als Programmierer beachten muss.
Ich mache keine Internetanwendung.
Es ist immer besser, seine Sache vernünftig zu machen, als sich darauf zu verlassen, dass andere brav sein werden (weil sie sonst auf die Finger bekommen) ... und anschließend nachträglich in Beweisnot zu geraten. Warum willst Du Dir das Leben unöntig schwer machen?
Ich mache beides. Die Sache vernünftig (weils weniger Arbeit macht, das gleich zu tun, als eventuell mal nacharbeiten zu müssen) und verlasse mich darauf, dass andere sich an die Gesetze halten.
Und so wehre ich SQL-Injections ab, habe ein sicheres Login-System, und prüfe auch Formulare uind deren Inhalt.
Genau darum geht es doch. Du überprüfst also die Werte, die ein (angebliches) Formular an Deinen Server schickt? Prima - davon rede ich die ganze Zeit.
Ich auch.
Aber ich finde es, im Gegensatz zu Dir und anderen, nicht in Ordnung, dass ich unter Beweisnot geraten soll, wenn ich meinen Usern zu wenig kriminelle Energie (und wir reden hier tatsächlich von Kriminalität und nicht von Kavaliersdelikten!) unterstelle.
Grüße, Lothar
Auge
Der Martin