[php] PHP Unsicher

[Lutz Zetzsche]

Hallo Norbert,

Norbert Pfeiffer schrieb:
> Hi,
>
>> Von daher ist zu erwarten, daß das auch die Sicherheitsstatistiken
>> für IIS 6 und höher positiv beeinflussen wird.
> na-ja,
> so einfach kann man sich IMHO nicht machen!

doch, weil es eine relative Aussage ist. Zweifelsfrei steigt die
Sicherheit beim IIS ab Version 6. Also wird sich das auch in den
Sicherheitsstatistiken positiv niederschlagen. Damit ist noch nicht
gesagt, daß der IIS jetzt so sicher wie ein Panzerschrank ist. ;-)


> Wer die Presse(c't, iX) verfolgt, weiss, dass in Windows selbst
> inoffizielle Backdoors existieren und Microsoft dies auch nie
> offiziell abgestritten, oder zu aendern versucht hat.
>
> Damit ist jede Windowsmaschine fuer Eingeweihte jederzeit offen,
> eine Tatsache, die die weite Verbreitung in renomierten Firmen,
> auch ausserhalb der IT-Branche, reichlich unverstaendlich macht.

Diese Gerüchte tauchen immer wieder auf. Es fragt sich aber, wo die ganzen
Eingeweihten sind und warum sie diese Hintertür dann nicht nutzen.
Außerdem stehen auch diverse Produkte anderer, vornehmlich
US-amerikanischer Hersteller (z.B. Lotus) unter ähnlichem Verdacht. Und
letztendlich installiert sich jeder von uns stapelweise Software auf
seinem Rechner, wo er auch nur _hoffen_ kann, daß da keine Hintertür
eingebaut ist... Eine einzige Hintertür in einem einzigen Programm würde
ja schon reichen. Wenn Dein Rechner richtig sicher sein soll, mußt Du den
Stecker aus der Steckdose ziehen. ;-)

Ehrlich gesagt gibt es aus meiner Sicht eine Menge Wege, in ein System
einzudringen bzw. an sensible Informationen zu kommen. Die NSA hat es
sicher nicht nötig, sich dafür eine Hintertüre in Windows einbauen zu
lassen. Das größere Sicherheitsrisiko geht doch sicherlich von
unzufriedenen, bestechlichen Mitarbeitern aus. Schließlich kommen
Journalisten ja auch an geheime Unterlagen des Bundessicherheitsrates, den
nicht einmal das Parlament kontrollieren darf. Und die Laptops der
Außendienstmitarbeiter meiner Firma sind auch regelmäßig virenverseucht,
wenn sie in die EDV zur Wartung kommen...

Außerdem frage ich mich, ob man diese ominöse Hintertür, die es angeblich
geben soll - mag ja sein -, nicht durch eine vernünftige
Sicherheitsarchitektur drumherum dicht machen kann.

Aber zu Deiner Beruhigung: Aus den von Dir genannten Gründen verwende ich
privat Linux. Nicht, weil ich glaube, daß da keine Hintertür eingebaut
sein könnte, sondern weil ich glaube, daß sie wegen des offen liegenden
Codes über kurz, vielleicht aber auch lang entdeckt werden könnte. Ich
formuliere das mal vorsichtig, weil die Möglichkeit etwas zu tun, noch
nicht bedeutet, daß es getan wird. Tatsache ist aber auch, daß ich eine
versteckte Infektion meines Linux-Systems vermutlich nie entdecken würde,
während die Wahrscheinlichkeit, das bei meinem Windows-System zu können,
höher wäre.


> - M$ hat mit ihrem Office sehr viele multinationale Konzerne,
>   und ihre deutschen Ableger, fest an sich gebunden und ist
>   deshalb einfach "unschlagbar" geworden.

Mit MS Office hast Du Dir aus meiner Sicht allerdings ein schlechtes
Beispiel herausgesucht. ;-) Ausgerechnet MS Office ist ein wirklich
starkes Produktpaket, wenn man Outlook jetzt mal außen vor läßt. ;-) Word
- abgesehen, von den versteckten Informationen, die es in den Dateien
ungewünscht speichert -, Excel und Access finde ich wirklich klasse, auch
wenn ich privat Linux bevorzuge und damit Open Office einsetze.

So. Jetzt sind wir mächtig einmal in den OT-Bereich abgeschweift. ;-)
Dabei sollten wir es auch belassen - oder halt weiteres per PM. :-)


Viele Grüße

Lutz