Original-URL des Artikels: https://www.golem.de/0901/64568.html    Veröffentlicht: 13.01.2009 11:22    Kurz-URL: https://glm.io/64568

Die 25 gefährlichsten Programmierfehler

Experten wollen Sicherheitslücken verhindern

Eine Gruppe internationaler Programmierexperten hat eine Liste der 25 gefährlichsten Programmierfehler veröffentlicht. Sie sollen für Sicherheitslöcher verantwortlich sein und Datenspionage ermöglichen. Die meisten Programmierer achteten nicht darauf, diese Fehler zu vermeiden.

Verschiedene Experten haben sich auf eine Liste der 25 gefährlichsten Programmierfehler geeinigt. Beteiligt waren Mitarbeiter der National Security Agency und des Department of Homeland Security ebenso wie Experten von Microsoft, Oracle, Symantec und Red Hat. Auch verschiedene Universitäten beteiligten sich.

Erschreckenderweise seien sich die meisten Programmierer der Fehler nicht bewusst, so die Experten. An Universitäten werde nicht gelehrt, wie sie sich vermeiden lassen. Die Literatur konzentriere sich auf Sicherheitslücken, die durch Programmierfehler entstehen. Das sei zwar hilfreich. Es erspare aber Arbeit, sich des Fehlers vorher anzunehmen, so die Experten. Und die Auswirkungen der Fehler seien enorm: Zwei der Fehler in der Liste waren 2008 für 1,5 Millionen Servereinbrüche verantwortlich.

Die Liste soll verschiedene Zwecke erfüllen. Nach Vorstellung der Experten sollen Käufer von Softwareanbietern verlangen, dass die ihre Produkte zertifizieren und damit garantieren, dass die 25 Fehler nicht enthalten sind. Der US-Bundesstaat New York wende bereits ein solches Verfahren an und integriere die 25 Fehler in seine Liste.

Außerdem erhoffen sich die Experten, dass Testwerkzeuge die 25 Fehler erkennen und Programmierern so bei der Arbeit helfen. Universitäten sollten lehren, wie sich kritische Fehler vermeiden lassen und Arbeitgeber sollten anhand der Liste die Fähigkeiten ihrer Programmierer prüfen und verbessern können.

Die Liste der 25 gefährlichsten Programmierfehler ist in drei Kategorien aufgeteilt: Die unsichere Interaktion zwischen Komponenten, riskante Ressourcenverwaltung sowie durchlässige Sicherheitsvorkehrungen.

Unter den aufgelisteten Fehlern finden sich etwa die ungenügende Eingabeüberprüfung, SQL Injection sowie Cross-site Scripting. Aber auch falsche Berechnungen und Verhaltensfehler wie heruntergeladenen Code nicht auf dessen Integrität zu prüfen tauchen in der Liste auf. Weiterhin listen die Experten fest eingebaute Passwörter und die Programmausführung mit unnötigen Rechten auf.  (js)


Verwandte Artikel:
Google: Chrome wird künftig mit Clang statt Visual C++ entwickelt   
(06.03.2018, https://glm.io/133171 )
Programmiersprache: Go 1.10 cacht besser und baut Brücken zu C   
(19.02.2018, https://glm.io/132857 )
Microsoft Quantum: Q# kommt für MacOS, Linux und mit Python-Unterstützung   
(27.02.2018, https://glm.io/133020 )
Smartphones: Algorithmus soll Eingaben von Kindern erkennen   
(12.02.2018, https://glm.io/132712 )
Kirin 970: Huawei öffnet KI-Chip für Entwickler   
(10.01.2018, https://glm.io/132075 )

Links zum Artikel:
CWE/SANS (.org) - Top 25 Most Dangerous Programming Errors: http://www.sans.org/top25errors/

© 1997–2020 Golem.de, https://www.golem.de/