AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Arbeiten im Team

Ein Thema von Captnemo · begonnen am 5. Mär 2015 · letzter Beitrag vom 6. Mär 2015
Antwort Antwort
Seite 4 von 5   « Erste     234 5      
Benutzerbild von Neutral General
Neutral General

Registriert seit: 16. Jan 2004
Ort: Bendorf
5.219 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#31

AW: Arbeiten im Team

  Alt 5. Mär 2015, 17:39
Wenn ich wirklich etwas entwickel was ich später verkaufen möchte dann würde ich den Code auch niemals auf fremden Servern hosten. Schon gar nicht wenn Leute meinen Source sehen/runterladen können. Da ist ein eigener SVN/GIT Server auf einem (V-)Server wahrscheinlich sicherer, oder man baut sich lokal ein kleines System im Heimnetzwerk.
Michael
"Programmers talk about software development on weekends, vacations, and over meals not because they lack imagination,
but because their imagination reveals worlds that others cannot see."
  Mit Zitat antworten Zitat
vagtler

Registriert seit: 9. Jul 2010
Ort: Köln
667 Beiträge
 
Delphi 2010 Professional
 
#32

AW: Arbeiten im Team

  Alt 5. Mär 2015, 18:04
[...] Inzwischen hat eine darauf spezialisierte Firma die Marktreife deines Produkts erkannt, sich die Sourcen via illegalem NSA-Kontakt* besorgt, [...]
Mal abgesehen davon, dass die NSA bestimmt leichter an die Daten eines virtuellen Servers eines deutschen Massenhosters als eines australischen, darauf spezialisierten Produkthosters kommt.

Zitat:
[...] das Ding kompiliert und via aufwendiger Produktreklame zigtausendfach verkauft, [...] Du kannst jetzt nicht einmal mehr beweisen, daß es sich um deine Sourcen handelt. [...]
Sollte sich der Sachverhalt derart darstellen, dann kann die Schöpfungshöhe nicht gewaltig gewesen sein (keine Patente oder sonstige Schutzmaßnahmen vorhanden). Und dann stelle ich mir die Frage, ob jemand sich dann wirklich die fragwürdige Mühe macht, sich auf illegalem Wege Deine Quellen zu besorgen (was immer ein gewisses Risiko birgt und auch nicht ganz billig sein dürfte) oder er die fragliche Funktionalität nicht in einem Niedriglohnland einfach neu entwickeln lässt.

Zitat:
[...]* Es ist bekannt, daß die NSA [...]
Nur um das noch einmal zu betonen: wir reden hier von Australien.

[...] Wenn du auf dem Level von Vorsicht bist, ist ein Online-Hoster raus aus der Diskussion.
Mein Reden. Wenn sicher, dann bitte nicht bei einem Online-Hoster.

Wenn ich wirklich etwas entwickel was ich später verkaufen möchte dann würde ich den Code auch niemals auf fremden Servern hosten. [...]
Warum nicht? Hierzulande hosten ganze Versicherungsunternehmen sensibelste Vertragsdaten in von fremden (amerikanischen!) Firmen betriebenen Rechenzentren... http://www.cio.de/a/allianz-riesen-o...an-ibm,2948015

Zitat:
[...] Schon gar nicht wenn Leute meinen Source sehen/runterladen können. [...]
Naja, irgend jemand muss ja mit dem Source auch arbeiten, oder nicht?

Zitat:
[...] Da ist ein eigener SVN/GIT Server auf einem (V-)Server wahrscheinlich sicherer, oder man baut sich lokal ein kleines System im Heimnetzwerk.
Wenn ich "Heimnetzwerk" höre, dann stellen sich mir alle Nackenhaare auf. Sicherlich hast Du in Deinem "Heim" auch einen Hochsicherheitstrakt, der 24/7 bewacht, gegen Naturkatastrophen geschützt und mit einem ausgefeilten Zugangskontrollsystem versehen ist?
  Mit Zitat antworten Zitat
Benutzerbild von JasonDX
JasonDX
(CodeLib-Manager)

Registriert seit: 5. Aug 2004
Ort: München
1.062 Beiträge
 
#33

AW: Arbeiten im Team

  Alt 6. Mär 2015, 08:27
[...] Inzwischen hat eine darauf spezialisierte Firma die Marktreife deines Produkts erkannt, sich die Sourcen via illegalem NSA-Kontakt* besorgt, [...]
Mal abgesehen davon, dass die NSA bestimmt leichter an die Daten eines virtuellen Servers eines deutschen Massenhosters als eines australischen, darauf spezialisierten Produkthosters kommt.
Was zu bezweifeln wäre. Die Australier sind auch nicht gerade bekannt dafür, viel auf die Privatsphäre ihrer Bürger zu geben. Und die Kooperation des BND mit der NSA ist bei weitem nicht so eng und ausgiebig wie die des ASD. (Stichwort 5 eyes)

Wenn ich wirklich etwas entwickel was ich später verkaufen möchte dann würde ich den Code auch niemals auf fremden Servern hosten. [...]
Warum nicht? Hierzulande hosten ganze Versicherungsunternehmen sensibelste Vertragsdaten in von fremden (amerikanischen!) Firmen betriebenen Rechenzentren... http://www.cio.de/a/allianz-riesen-o...an-ibm,2948015
Was noch lange nicht heißt, dass es eine gute Idee ist.

Zitat:
[...] Da ist ein eigener SVN/GIT Server auf einem (V-)Server wahrscheinlich sicherer, oder man baut sich lokal ein kleines System im Heimnetzwerk.
Wenn ich "Heimnetzwerk" höre, dann stellen sich mir alle Nackenhaare auf. Sicherlich hast Du in Deinem "Heim" auch einen Hochsicherheitstrakt, der 24/7 bewacht, gegen Naturkatastrophen geschützt und mit einem ausgefeilten Zugangskontrollsystem versehen ist?
Manchmal ist ein Heimnetzwerk tatsächlich die beste Variante - vorausgesetzt man weiß was man tut. Man braucht auch keinen 24/7 bewachten Sicherheitstrakt. Ein Angriff auf ein ordentlich eingerichtetes Heimnetzwerk ist nur durch eine gezielte Operation machbar, die deutlich mehr Ressourcen verbraucht als ein Brief an deinen Hoster. Und vor allem: Gezielte Angriffe skalieren schlechter als Briefe.
Mike
Passion is no replacement for reason
  Mit Zitat antworten Zitat
vagtler

Registriert seit: 9. Jul 2010
Ort: Köln
667 Beiträge
 
Delphi 2010 Professional
 
#34

AW: Arbeiten im Team

  Alt 6. Mär 2015, 08:46
[...] Manchmal ist ein Heimnetzwerk tatsächlich die beste Variante [...]
Tatsächlich ist bei einem Heimnetzwerk das Risiko eines Brandschadens und damit vollständigen Datenverlusts ungleich höher als die Wahrscheinlichkeit auf einen gezielten Industriespionageangriff durch die NSA auf einen Hoster.

Wenn die Sourcen so wertvoll sind, dann lohnt sich der physische Angriff viel eher und ist bei einem "Heimnetzwerk" wesentlich leichter (und auch viel schwerer nachzuweisen). Als wenn die NSA einen Brief an den Hoster schickt à la "bitte Sourcen von xyz GmbH zum Zwecke der nationalen Sicherheit aushändigen".

Ich habe den Eindruck, dass die wenigsten, die sich hier äußern, überhaupt schon einmal mit Industriespionage zu tun hatten. Der USB-Stick (gerne auch eine Micro-SD-Card), den ein Mitarbeiter für einen luxuriösen dreiwöchigen Urlaub in der Karibik für die ganze Familie mal irgendwo in einem Bistro nach einem (natürlich bezahlten) Abendessen mit dem befreundeten Entwickler des Mitbewerbers aus der Nachbarstadt "zufällig" auf dem Tisch liegen lässt, ist die viel konkretere Gefahr. Die will der "German Angsthase" aber nicht sehen und investiert Zeit und Geld in zweifelhafte Schutzmechanismen für Quellcode gegen Datendiebstahl durch ausländische Geheimdienste, aber knausert an den Gehältern der und den Incentives für die Mitarbeiter.

Auf besagtem USB-Stick ist dann übrigens viel mehr als nur der Quellcode - ein Backup der Kundendatenbank und der Finanzbuchhaltung sowie der archivierten Verträge passt da sehr gut auch noch drauf...
  Mit Zitat antworten Zitat
Benutzerbild von JasonDX
JasonDX
(CodeLib-Manager)

Registriert seit: 5. Aug 2004
Ort: München
1.062 Beiträge
 
#35

AW: Arbeiten im Team

  Alt 6. Mär 2015, 09:32
[...] Manchmal ist ein Heimnetzwerk tatsächlich die beste Variante [...]
Tatsächlich ist bei einem Heimnetzwerk das Risiko eines Brandschadens und damit vollständigen Datenverlusts ungleich höher als die Wahrscheinlichkeit auf einen gezielten Industriespionageangriff durch die NSA auf einen Hoster.
Da würde mich Interessieren woher du die Zahlen dafür hast. Risiko für Wohnungsbrände kann man berechnen, aber wie misst du die Wahrscheinlichkeit auf einen Angriff auf einen Hoster?

Wenn die Sourcen so wertvoll sind, dann lohnt sich der physische Angriff viel eher und ist bei einem "Heimnetzwerk" wesentlich leichter (und auch viel schwerer nachzuweisen). Als wenn die NSA einen Brief an den Hoster schickt à la "bitte Sourcen von xyz GmbH zum Zwecke der nationalen Sicherheit aushändigen".
Gezielte Angriffe sind mit hohem Aufwand verbunden. Guck einfach mal was betrieben wurde, um Gemalto zu hacken. Und: Hacks sind sehr oft nachweisbar. Im Gegensatz zu Briefen an einen Hoster, die dann höchstwahrscheinlich mit Gag-Order versehen werden. Dann kanns gut sein, dass nie jemand davon erfährt.

Ich habe den Eindruck, dass die wenigsten, die sich hier äußern, überhaupt schon einmal mit Industriespionage zu tun hatten. Der USB-Stick (gerne auch eine Micro-SD-Card), den ein Mitarbeiter für einen luxuriösen dreiwöchigen Urlaub in der Karibik für die ganze Familie mal irgendwo in einem Bistro nach einem (natürlich bezahlten) Abendessen mit dem befreundeten Entwickler des Mitbewerbers aus der Nachbarstadt "zufällig" auf dem Tisch liegen lässt, ist die viel konkretere Gefahr. Die will der "German Angsthase" aber nicht sehen und investiert Zeit und Geld in zweifelhafte Schutzmechanismen für Quellcode gegen Datendiebstahl durch ausländische Geheimdienste, aber knausert an den Gehältern der und den Incentives für die Mitarbeiter.
Ich dreh mal die Frage um: Wieviel hast du denn mit Industriespionage zu tun?
Von meiner Seite kann ich sagen, dass ich in einem Unternehmen arbeite, bei dem man davon ausgehen kann, dass es bereits Ziel von Geheimdiensten war&ist. Ich bin dort zwar nicht in der Sicherheitsabteilung, aber man kriegt so manche Sachen trotzdem mit.
Und ja, es gibt immer auch das Risiko, dass ein Mitarbeiter gekauft wird. Das sollte aber genauso nachvollziehbar sein, und der entsprechende Mitarbeiter kann dafür auch rechtlich zur Verantwortung gezogen werden. Insgesamt ist das ein nicht zu vernachlässigender Angriffsvektor, der aber kein Grund ist, andere Angriffspotentiale zu ignorieren.
Mike
Passion is no replacement for reason
  Mit Zitat antworten Zitat
vagtler

Registriert seit: 9. Jul 2010
Ort: Köln
667 Beiträge
 
Delphi 2010 Professional
 
#36

AW: Arbeiten im Team

  Alt 6. Mär 2015, 10:05
Zu dem Thema Brandstatistiken und Industriespionage möchte bzw. darf ich nur so viel sagen, dass ich aus meiner täglichen Arbeit durchaus vertraut mit solchen Themen bin.

Bitte komm aber noch mal auf die hier angesprochene Problematik zurück:

Wenn wir hier ein so dermaßen schützenswertes Gut haben, dass davon die Weltherrschaft abhängt, dann ist weder der virtuelle Server bei einem Massenhoster, noch ein kommerzieller Git-Hoster, noch der Server im Keller ein probater Aufbewahrungsort.

Für den durchschnittlichen Klein(st)unternehmer bleibe ich aber dabei, dass ein darauf spezialisierter Hoster die (durchaus vorhandenen und berechtigten) Schutzbedürfnisse meist besser befriedigen kann als der Betrieb eines eigenen (virtuellen) Servers bei einem Massenhoster.

Und zu glauben, dass sich die NSA wirklich für die 1.654ste in Delphi geschriebene Vereinsverwaltung interessiert, ist einfach vermessen.

Aber ich gebe Dir Recht, dass natürlich jeder Angriffsvektor abgewogen und bewertet werden muss. Oft ist es halt eine Generalangst vor allem, die dann zu unüberlegten, viel gefährlicheren Handlungen führt.
  Mit Zitat antworten Zitat
Benutzerbild von Sherlock
Sherlock

Registriert seit: 10. Jan 2006
Ort: Offenbach
3.798 Beiträge
 
Delphi 12 Athens
 
#37

AW: Arbeiten im Team

  Alt 6. Mär 2015, 10:21
Also gegen einen Server im Keller ist doch nichts einzuwenden, so lange der nur per VPN von aussen erreichbar ist. Auf diesen Server spielt man einen Apache und kann dann gleichzeitig das Wiki und das Web-Frontend des hg-Servers drüber laufen lassen. Super einfach, stabil und geschützt genug (wer ins Firmennetz eindringen kann, der hat es sich auch verdient an die Sourcen zu kommen).

Sherlock
Oliver
Geändert von Sherlock (Morgen um 16:78 Uhr) Grund: Weil ich es kann
  Mit Zitat antworten Zitat
Benutzerbild von JasonDX
JasonDX
(CodeLib-Manager)

Registriert seit: 5. Aug 2004
Ort: München
1.062 Beiträge
 
#38

AW: Arbeiten im Team

  Alt 6. Mär 2015, 10:34
Wenn wir hier ein so dermaßen schützenswertes Gut haben, dass davon die Weltherrschaft abhängt, dann ist weder der virtuelle Server bei einem Massenhoster, noch ein kommerzieller Git-Hoster, noch der Server im Keller ein probater Aufbewahrungsort.
Größtenteils kann ich dem beipflichten. Der Knackpunkt ist der, dass man bei Hostern davon ausgehen kann, dass sich Dritte Zugriff darauf verschaffen können. Eigene, individuelle Lösungen sind keineswegs 100% sicher, aber manchen (abhängig vom Setup) einen gezielten, nicht-skalierenden Angriff notwendig. Natürlich kann man dabei auch ordentlich verkacken, und eine offene Tür hinterlassen.

Für den durchschnittlichen Klein(st)unternehmer bleibe ich aber dabei, dass ein darauf spezialisierter Hoster die (durchaus vorhandenen und berechtigten) Schutzbedürfnisse meist besser befriedigen kann als der Betrieb eines eigenen (virtuellen) Servers bei einem Massenhoster.
Das ja. Ein V-Server erbt die Problematik eines Hosters im Bezug auf rechtliche Zuständigkeit, PLUS das Risiko des eigenen SetUps. (War da nicht letzt auch mal was, dass zig-tausende MongoDBs wegen falschem Setup öffentlich zugänglich waren?)

Und zu glauben, dass sich die NSA wirklich für die 1.654sten in Delphi geschriebene Vereinsverwaltung interessiert, ist einfach vermessen.
Es hängt von der Anwendung, bzw. den Kunden ab. Eine gewisse Grundabsicherung sollte immer da sein. Aber um den Aufwand zu betreiben, sich gegen bestimmte Angriffe zu verteidigen, dann sollte auch das Risiko solcher Angriffe bestehen.

Aber ich gebe Dir Recht, dass natürlich jeder Angriffsvektor abgewogen und bewertet werden muss. Oft ist es halt eine Generalangst vor allem, die dann zu unüberlegten, viel gefährlicheren Handlungen führt.
Full Ack. Es war auch durchaus korrekt, auf andere Angriffsvektoren (Wie eben korrupte Mitarbeiter) hinzuweisen - Das schlimmste das man tun kann ist, eine Sicherheitsvorkehrung zu treffen, und dann glauben, man sei vor allem sicher.


Also gegen einen Server im Keller ist doch nichts einzuwenden, so lange der nur per VPN von aussen erreichbar ist. Auf diesen Server spielt man einen Apache und kann dann gleichzeitig das Wiki und das Web-Frontend des hg-Servers drüber laufen lassen.
Es ist ein Aufwand, und kostet Ressourcen. Und wenn jemand wirklich dran will, wird der Laptop eines Mitarbeiters angegriffen.
Mike
Passion is no replacement for reason
  Mit Zitat antworten Zitat
Benutzerbild von Sherlock
Sherlock

Registriert seit: 10. Jan 2006
Ort: Offenbach
3.798 Beiträge
 
Delphi 12 Athens
 
#39

AW: Arbeiten im Team

  Alt 6. Mär 2015, 11:06
Ja, man kann natürlich Kompetenz und KnowHow nach aussen werfen, und sich auf die "wichtigen" Dinge konzentrieren. Andererseits könnte der Chef auf den gleichen Gedanken kommen, und die Entwicklungsabetilung outsourcen. Wer keinen Apache zusammenklicken kann (und mehr muss man mit einer handelüblichen XAMPP-Installation wirklich nicht tun) und darauf kein DokuWiki (imho simpelstes Wiki überhaupt) und hg-Servlet drauf bekommt, der bekommt auch sonst in der IT nichts auf die Reihe. Für das VPN und die Unternehmensfirewall sorgt die hauseigene IT.

Sherlock
Oliver
Geändert von Sherlock (Morgen um 16:78 Uhr) Grund: Weil ich es kann
  Mit Zitat antworten Zitat
Benutzerbild von JasonDX
JasonDX
(CodeLib-Manager)

Registriert seit: 5. Aug 2004
Ort: München
1.062 Beiträge
 
#40

AW: Arbeiten im Team

  Alt 6. Mär 2015, 11:16
Ja, man kann natürlich Kompetenz und KnowHow nach aussen werfen, und sich auf die "wichtigen" Dinge konzentrieren. [...] Wer keinen Apache zusammenklicken kann (und mehr muss man mit einer handelüblichen XAMPP-Installation wirklich nicht tun) und darauf kein DokuWiki (imho simpelstes Wiki überhaupt) und hg-Servlet drauf bekommt, der bekommt auch sonst in der IT nichts auf die Reihe. Für das VPN und die Unternehmensfirewall sorgt die hauseigene IT.
"Schuster, bleib bei deinen Leisten". Das gefährliche sind eben Leute, die meinen sich damit auszukennen, dann aber was zusammenklicken und davon ausgehen, dass es sicher sei. Wenns ne hauseigene IT gibt, dann setzt die das auf, und hat hoffentlich auch die entsprechenden Qualifikationen und Erfahrungen. Ansonsten ist ein externer Dienstleister mit dafür qualifizierten und erfahrenen Leuten trotz rechtlicher Verpflichtungen immernoch die sicherere Variante.
Mike
Passion is no replacement for reason
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 4 von 5   « Erste     234 5      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 12:22 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz