this post was submitted on 25 Jul 2023
172 points (100.0% liked)
DACH - jetzt auf feddit.org
8715 readers
1 users here now
Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!
Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.
Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:
Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos
Auch hier gelten die Serverregeln von https://feddit.de !
Banner: SirSamuelVimes
founded 1 year ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
view the rest of the comments
Ich denke auch eher das läuft unter billigend in Kauf genommen und fahrlässig als unter Vorsatz.
Bei dem Dependency-Dschungel in modern entwickelten Anwendungen ist das halt auch Sackgang. Selbst mit einem gut gepflegten SBOM fällt sowas ggf. nicht auf.
Letztlich hätte man halt genau die Analyse machen lassen müssen, die Kuketz gemacht hat. Also die App einem Security Spezialisten geben, der das Ding auf Herz und Nieren prüft, und alle Datenflüsse ermittelt. Die hätte man dann wiederum einem Datenschützer vorlegen müssen, der das bewertet. Dann zurück zum Architekten, der die technische Notwendigkeit eruiert.
Und da sind wir halt wieder bei dem viel zu schnellen Entwicklungszyklus, der heutzutage erwartet wird. So eine Prüfung passt halt besser in ein Wasserfall-Modell, als zu agiler Softwareentwicklung. Und bei der Zeit (und Geld), die solche Prüfungen kosten, macht man das halt nicht jede Woche.
Ich glaube eher, du hast den Blogpost nicht verstanden.
Um nachzuvollziehen, dass eine Anwendung ohne Einverständnis Dinge anpingt, brauche ich das nicht „auf Herz und Nieren“ zu überprüfen. Da schaltet man einen Proxy zwischen, startet die App, und dann sieht man das. Audit beendet.
Sowas zählt zur zentralen Sorgfaltspflicht bei der Entwicklung digitaler Produkte.
Genau so läuft es in der Realität aber ja gerade nicht ab! Darum kritisier ich das doch!
Das ist sogar gleich im ersten Satz meines Kommentars!
Billigend in Kauf nehmen ist Eventualvorsatz:
https://de.wikipedia.org/wiki/Eventualvorsatz
Danke für die Korrektur. Dann ist wohl beides möglich.