Leserbriefe

„Alle“ hacken auf Linux rum, aber hat nicht erst der Linux-Schwenk die Chance eröffnet, sämtliche Fürstentümer alias Eigenentwicklungen der Ämter in Form von professionellen Anwendungen zu einen, und Daten austauschbar werden lassen? Wenn ich mich nicht irre, war das einer der Hauptgründe, warum die Umstellung so lange gedauert hatte. Schließlich musste jeder Schnulli, der von den Herren Möchtegern „programmiert“/verbrochen worden war, untersucht und ggf. in was Portables umgesetzt werden, sonst oh weh, jammer, jammer …

Microsoft kann sich jetzt ins mehr oder weniger gemachte Nest setzen und bald siehts dann wahrscheinlich wieder so aus wie vor 20 Jahren: Keiner kann Daten mit dem anderen mehr effizient austauschen/nutzen, jeder macht seinen eigenen Kram und den doppelt und dreifach. Na ja, aber vielleicht freut das wenigstens die Datenschützer.

jelmd, aus dem iX-Forum

CRM ist erst einmal eine Geisteshaltung und kein Produkt. Aber auch wenn man mit der richtigen Haltung an die Recherche geht, helfen die CRM-Artikel der aktuellen Ausgabe wenig. Das A und O in der Kundenbeziehung sind Kunden-Verkaufsdaten, die sich in der Regel aus vorhandenen ERP-Systemen ergeben. Diese Daten in ein CRM-System einzubinden und permanent upzudaten oder gar synchron zu halten (z.  B. bei einem Update der Kundendaten im CRM per Rückmeldung ans ERP), erfordert einen hohen technischen Aufwand mit entsprechendem Verständnis.

Auch zu kurz gekommen in den Artikeln: die Abbildung von Fachlichkeit im CRM. CRM-Systeme sind Gefäße, die gefüllt werden müssen – mit Daten und mit Fachlichkeit, die in jeder Branche anders ausgeprägt sein wird. Hier sind die Systemhäuser und Berater gefragt, die nicht immer über das notwendige Branchen-Know-how verfügen werden.

Ich würde mir in zukünftigen Ausgaben beispielhafte Implementierungen von CRM wünschen, die oben angeführte Fragen nach Integration und Abbildung von Fachlichkeit erläutern.

Rainer Glaap, Bremen

Mit die größte Herausforderung ist es aus meiner Sicht, dass Massenprüfungen durchgeführt werden müssen, um ausreichend viele Payloads auf den einzelnen Variablen einer Funktion zu prüfen. Dazu genügt es im Beispiel-Onlineshop je nach Funktion nicht, einige Bestellungen stornieren zu können, sondern gilt es, automatisiert beliebig viele Stornos anzustoßen. Alles, was Massenprüfungen verhindert, z. B. Rate Limiting in Web Application Firewalls, muss für den Test sinnvollerweise deaktiviert werden. Zu vermitteln, dass für die Sicherheitsprüfung Sicherheitsfunktionen abgeschaltet werden müssen, um sinnvolle Ergebnisse zu erhalten, ist in der Kommunikation mit dem Geprüften herausfordernd.

„A fool with a tool is still a fool“ – keine Frage. Warum jedoch ein Kontaktformular kein Zielobjekt für die automatisierte Prüfung durch Burp & Co. sein soll, entzieht sich meiner Kenntnis. Natürlich müssen die Risiken vorab abgeklärt sein, rein manuell eine geringe Anzahl Payloads zu testen, ist jedoch nicht ausreichend abdeckend.

Die OWASP Top 10 sind keine Schwachstellenliste, sondern nach der Metrik der Top 10 die Schwachstellen, von denen das größte Risiko ausgeht. Die Liste der „10 häufigsten Sicherheitsrisiken für Webanwendungen“ steht auf dem Titel der deutschen Übersetzung.

Dass die Leistung eines Penetrationstesters darin besteht, aus einer bloßen Auffälligkeit einen funktionierenden Exploit zu konstruieren, hat mich dann doch überrascht. Sofern der Autor einen funktionierenden Proof of Concept meint, unterschreibe ich das sofort. Sofern er wirklich einen Exploit, also eine deutlich aufwendigere PoC-Form, meint, widerspricht dies dem – zu Recht – im Artikel genannten Ziel, „möglichst effizient Schwachstellen zu finden“.

Nochmals vielen Dank für den Artikel, ich finde spannend an iX, dass auch Themen wie dieses, die nicht unfassbar viele direkt betreffen, ihren Platz finden.

Tobias Glemser, Gäufelden

Feiner Artikel – eins lässt der Autor aber leider unberücksichtigt: Man bräuchte einen plattformübergreifenden Passwortmanager.

Denn auf Webseiten greift man ja heutzutage nicht mehr nur von einem einzigen Gerät zu, sondern von x verschiedenen – das ist ja der Sinn einer Webseite.

Bei mir sind das zum Beispiel ein Windows- und ein Linux-Notebook, ein Linux-Arbeitsplatz zu Hause und einer auf der Arbeit, zwei Android-Smartphones, ein Android-Tablet und ein iPhone – macht acht Geräte mit vier Betriebssystemen. Und ich nutze sicher um die 100 passwortgeschützte Webseiten beziehungsweise -dienste. Papier scheidet dann ja wohl aus, zumindest wenn man Hash-artige Passwörter verwendet.

Und welche PW-Manager gibt es für Linux, Windows, Android, iOS? Möglichst mit binärkompatiblem lokalen Speicher, denn man will sicher nicht bei einer doch mal fälligen Passwortänderung auf jedem Gerät wieder so einen 64-Zeichen-Hash eintippen. Dafür gibt es tatsächlich noch keine Lösung. Oder doch?

Dr. Christian Böttger, via E-Mail