ich bin sehr gespannt, wie diese Aktion weiter geht. Zusätzlich zu den von Dir genannten Seitenbetreiber machen mir Sorgen: Tutorials, Foren und auch Bücher die die Aspekte der Sicherheit vollkommen ausblenden, nur um die Codebeispiele schlank und “sexy” zu halten. Wenn Programmierwissen auf diese Weise verbreitet wird, braucht man sich über die Erzeugnisse nicht wundern…

Wie “ich” sicherlich längst festgestellt hat, vertrete ich persönlich auf diesem Gebiet eine recht deutliche Position. Ich hab das hier mal definiert: http://www.ciez.de/ciez-default/autor_mk_1.html

Ich lege jedoch Wert darauf, dass ich mich damit auf all die Personen bezog, die hier ihr elendes verantwortungsloses Unwesen treiben. Z.B. die Leute die o.g. Sicherheitslücken einfach nicht wahrnehmen, bzw. selbst wenn, sich kaum mehr die Mühe machen sie zu beheben oder wenigstens klar und deutlich auf deren Existenz hinzuweisen.

Die Problematik auf die “ich” in Bezug auf den § 202c StGB hinwies, zeigt auch nur einmal mehr auf, wie wenig der Gesetzgeber die gegebene Technik verstanden hat. Denn hierin untersagt er Entwicklern und Firmen die Anwendung von Programmen und Geräten die dringend notwendig sind um Systeme sicher einigermaßen zu machen. Zwar wird im Gesetzestext von “unbefugt” gesprochen um zu differenzieren und klarzustellen. Doch gleichzeitig wird auch die Herstellung und Beschaffung von etwas “generell” untersagt, was die o.g. Entwickler dringend benötigen um ihre Arbeit, in dem von dir genannten Sinn, überhaupt erst ordentlich erledigen zu können. Dies schafft das Gegenteil von dem was es bewirken sollte.

Um bei dieser Art der Vergleiche zu bleiben stellen wir uns einen spezialisierten Schlosser vor, der als Selbstständiger einen Schlüsseldienst betreibt. Du rufst ihn an und bittest ihn deine Wohnungstür zu öffnen, weil Du deinen Schlüssel verloren hast (oder weil dir die Handtasche gestohlen wurde). Leider kann er dir laut besagte Auswirkungen des § 202c nicht helfen. Denn er darf weder das hier notwendige Spezialwerkzeug besitzen, es sich beschaffen und natürlich schon gar nicht ohne vertraglich zugesichertem “Sicherheitsnetz” anwenden. Nun ja. Er könnte die Tür natürlich eintreten. Aber dazu brauchst Du eine andere Sorte Spezialisten

Und derweil müssten wir sogar die Herstellung von Bohrmaschinen verbieten, denn mit diesen kann man ja auch Zylinder ausbohren. Böse, böse und noch mal böse!

Die Regeln auf diesem Gebiet müssen von Leuten definiert werden die A) etwas davon verstehen, B) sowohl von Politik als auch von den Wirtschaftsverbänden unabhängig sind und C) sich der Verantwortung und der Signalwirkung bewusst sind, die damit einhergeht…

alle weiteren möglichen leistungen müssen in einem angebot verständlich dargestellt werden und der kunde muß sich entscheiden was davon er haben will, auch hier der vergleich mit dem handwerker: wenn ich mir ein neues bad einbauen lasse dann muß ich ja auch die einzelnen punkte auswählen. der satz “machen sie mal, soll nett aussehen” geht ja mal gar nicht! würde ich mir als programmierer einfach nicht bieten lassen! wenn die leute einfach zu faul sind sich das erklären zu lassen, würde ich mit dem handwerker-vergleich argumentieren, oder auch meinetwegen mit dem kauf eines neuen autos – man stelle sich vor jemand geht zum autohändler und sagt: “es soll fahren.”

ich finde nach wie vor daß gesetze unerläßlich sind, natürlich müssen sie, wie alle gesetze die solche dinge betreffen, mit technischer beratung stattfinden.

Hey. Es hat ja keiner gesagt das einfach wird, gelle? Aber so wie Du das ja oben schon gezeigt hast, sollte man auf jeden Fall versuchen bestimmte Tätigkeiten/wiederkehrende Aufgaben so präzise wie irgend möglich zu beschreiben.

Meine Idee dazu war solche Beschreibungen in Form eines öffentlich zugänglichen Wiki’s zu machen. Wobei natürlich darauf zu achten ist, dass nicht “Hinz und Kunz” hier Veränderungen vornehmen können.

Dies könnte dann als Orientierungsmöglichkeit für Auftraggeber und Auftragnehmer dienen. Es würde klar ersichtlich welcher Aufwand tatsächlich hinter den teils simpel klingenden Dingen wie “Kontaktformular Einrichten” steht. Was übrigens eines der markantesten Defizite darstellt, die mir bisher aufgefallen sind.

Ob und in welchem Ausmaß sich die Industrie dann danach richtet, hängt meines Erachtens nach primär damit zusammen wie Fraktionsneutral diese Inhalte er- und dargestellt werden (also weder von Seiten Bitcom oder BDI).

Meine drei Tage Lebenserfahrung sagen mir das ein Markt dann gut und stabil wächst, wenn solcherlei Orientierungsmöglichkeiten wenigstens vorhanden sind (niemand spricht von Perfektion..). Findet sich nichts dergleichen sind die Marktschwankungen kaum mehr vorhersagbar und ergo werden dringend notwendige Investitionen ausbleiben. Was dann in Folge wiederum die Preise kaputt macht. Und mit kaputten Preisen kann man weder ordentliche Arbeitsplätze schaffen, noch eine ordentliche Ausbildungsstruktur finanzieren…

Nur ein Beispiel. Kontaktformular mit Adresse des WebSite-Besitzers, alles möglich, aber nichts muss:

• Captcha
• E-Mail-Adresse des WebSite-Besitzers spambotsicher angeben
• XSS-Bugfrei
• Versand gefiltert, z.B. keine CCs oder BCCs möglich, Maßnahme gegen Spammer
• Prüfung der Absender-E-Mail-Adresse auf Plausibilität (Syntaktische Prüfung relativ einfach, ob dann ein MX dranhängt schon schwieriger, da manchmal angeblich kein MX dranhängt, aber E-Mails trotzdem empfangen werden)
• Prüfung der Absenderangaben für Ort und PLZ auf Plausibilität (Ort und PLZ lassen sich relativ einfach prüfen, bei der dazugehörigen Straße und Hausnummer wird es schon schwieriger)
• Prüfung der restlichen Eingaben, ob überhaupt etwas eingegeben wurde
• falls Eingaben fehlen, schon per JavaScript vor dem Versand abfackeln, bei deaktiviertem JavaScript nicht möglich
• Rückmeldung nach dem Versand per E-Mail, auch an den Absender des Formulars, evtl. mit ja-nein-Auswahlbox?
• Formatierung der Rückmeldung per E-Mail, auch als HTML-E-Mail
• Kennzeichnung der Mußfelder, wenn ja in welcher Form?
• etc., etc.

Wenn ich ein Kontaktformular für einen Kunden machen soll, dann versuche ich im Vorfeld schon zu klären was gewünscht wird… :O) Tja, was soll ich sagen, da kommt dann oft das von dir erwähnte “Machen Sie mal, dass das nett aussieht, gut funktioniert und nicht so teuer wird.”

Der Auftraggeber will sich i.d.R. nicht mit solchen Details auseinandersetzen und da es unzählige Wege zum funktionierenden Formular gibt kann die Ausführung zwischen 30 Minuten und mehreren Stunden benötigen.

Auftraggeber wissen nicht was sie wollen, sie wissen nur: “…nett aussieht, gut funktioniert und nicht so teuer wird.”

“…und dies nur weil der Entwickler sich nicht um die Sicherheit kümmert?!”

Wir hatten letztens erst ein (ich nenne es mal Gespräch) mit einem solchen Entwickler. Die Einstellung die der vertrat war echt erschreckend. Wie gesagt, offene Tore, offene Tore

“Und zu REFA,…”

Natürlich! Ich wollte mit der Äußerung ja genau diese Diskussion losbrechen. Ich bin nämlich davon überzeugt das wir solche “Richtlinien” über kurz oder lang wirklich brauchen werden. Vielleicht so eine Art Raster, nach “Zeitaufwand” und “Komplexität”? Oder besser noch eine Achse in die Tiefe, für etwas wie “künstlerische Kreativität”? Allein mit Letzterem werden Programmierer ja auch nicht gerade selten komplett allein gelassen. Frei nach dem Motto:

“Machen Sie mal, dass das nett aussieht, gut funktioniert und nicht so teuer wird.”

Ich denke da muss noch viel Basisarbeit geleistet werden. Auf Verdi und Co, sollte man sich besser nicht verlassen. Wie gesagt ich bin gespannt was die Betroffenen in diesem Fall unternehmen (bzw. ob überhaupt etwas merkliches passiert)

Und zu REFA, ich glaube nicht das man Programmierleistung in Zeichen pro Stunde abrechnen kann. :O) Je nach Aufgabe kann der Aufwand enorm sein, ohne das wirklich, messbar, viel Code getippt wurde. Da es beim Programmieren nicht auf die Quantität sondern auf die Qualität ankommt, kann es durchaus vorkommen das jemand den ganzen Tag an relativ wenig Quellcode gearbeitet hat, aber der ist dann so genial, das andere Entwickler ein Vielfaches an Code abliefern müssen, um ähnliche Funktionen nachzubilden.