this post was submitted on 25 Jul 2023
172 points (100.0% liked)

DACH - jetzt auf feddit.org

8715 readers
1 users here now

Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!

Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos

Auch hier gelten die Serverregeln von https://feddit.de !

Banner: SirSamuelVimes

founded 1 year ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
[–] [email protected] 2 points 1 year ago (2 children)

Ich denke auch eher das läuft unter billigend in Kauf genommen und fahrlässig als unter Vorsatz.

[–] [email protected] 7 points 1 year ago (1 children)

Bei dem Dependency-Dschungel in modern entwickelten Anwendungen ist das halt auch Sackgang. Selbst mit einem gut gepflegten SBOM fällt sowas ggf. nicht auf.

Letztlich hätte man halt genau die Analyse machen lassen müssen, die Kuketz gemacht hat. Also die App einem Security Spezialisten geben, der das Ding auf Herz und Nieren prüft, und alle Datenflüsse ermittelt. Die hätte man dann wiederum einem Datenschützer vorlegen müssen, der das bewertet. Dann zurück zum Architekten, der die technische Notwendigkeit eruiert.

Und da sind wir halt wieder bei dem viel zu schnellen Entwicklungszyklus, der heutzutage erwartet wird. So eine Prüfung passt halt besser in ein Wasserfall-Modell, als zu agiler Softwareentwicklung. Und bei der Zeit (und Geld), die solche Prüfungen kosten, macht man das halt nicht jede Woche.

[–] [email protected] 0 points 1 year ago (1 children)

Ich glaube eher, du hast den Blogpost nicht verstanden.

Um nachzuvollziehen, dass eine Anwendung ohne Einverständnis Dinge anpingt, brauche ich das nicht „auf Herz und Nieren“ zu überprüfen. Da schaltet man einen Proxy zwischen, startet die App, und dann sieht man das. Audit beendet.

Sowas zählt zur zentralen Sorgfaltspflicht bei der Entwicklung digitaler Produkte.

[–] [email protected] 5 points 1 year ago* (last edited 1 year ago)

Genau so läuft es in der Realität aber ja gerade nicht ab! Darum kritisier ich das doch!

Das ist sogar gleich im ersten Satz meines Kommentars!

[–] [email protected] 3 points 1 year ago (1 children)
[–] [email protected] 2 points 1 year ago

Danke für die Korrektur. Dann ist wohl beides möglich.