AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein Sind mit Delphi erstellte Programm sicherer?
Thema durchsuchen
Ansicht
Themen-Optionen

Sind mit Delphi erstellte Programm sicherer?

Ein Thema von BlueStarHH · begonnen am 6. Okt 2023 · letzter Beitrag vom 9. Okt 2023
 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Benutzerbild von masc-online
masc-online

Registriert seit: 10. Dez 2005
Ort: Leinfelden-Echterdingen
22 Beiträge
 
Delphi 11 Alexandria
 
#25

AW: Sind mit Delphi erstellte Programm sicherer?

  Alt 9. Okt 2023, 19:03
"Das Programm braucht keinen privilegierten Zugriff, ist also sicher!"
Ich glaube kaum, dass man mit diesem Argument einen auf Sicherheit fixierten IT-Admin überzeugen kann.

"Zum Starten des Autos braucht man keinen Führerschein. Also ist es sicher." (Ich liebe hinkende Auto-Vergleiche.)
Beim ursprünglichen Zitat fehlt hoffentlich nur das Zwinker-Smiley. Ansonsten dürfte die Aussage gar keinen IT-Admin überzeugen. Auch ohne Admin-Rechte kann man genügend Schindluder treiben (Stichwort Ransomware).

Bei solchen Fragen geht es in der Regel weniger darum darzulegen, dass eine Software, die mit Programmiersprache A programmiert wurde, mehr oder weniger fehleranfällig ist, als eine Anwendung, die mit Programmiersprache B entwickelt wurde. Man soll nur darlegen, dass man weiß
  • Was die Anwendung macht
  • Was drin steckt
  • Es eine verantwortliche Person oder Firma gibt, die sich um den Lifecycle der Anwendung kümmert

Es hilft / ist in der Regel ausreichend, wenn man den entsprechend interessierten Personen darlegen kann:
  • In welcher Frequenz neue Versionen veröffentlich werden (gerne inkl. Changelogs)
  • Ein Fehlertracking / Support Tool im Einsatz zu haben
  • Eine Erreichbarkeit im Problemfall sicherzustellen
  • Welche Bibliotheken verwendet werden
    • Klingt erstmal lästig, aber eigentlich sollte man 3rd-Party-Komponenten schon aus Eigeninteresse inkl. Quelle dokumentieren
    • Wenn man nicht jeden Kleinkram angeben will (und auch aus bspw. Lizenzgründen nicht muss), sollten in der Liste zumindest die größeren Kandidaten auftauchen (bspw. Synopse mORMot, JEDIs, TMS VCL UI Pack, etc.)
    • Insbesondere eingebettete Browser sind inkl. Version anzugeben
    • Programme Dritter, die man mit ausliefert, inkl. Version und Lizenz angeben
    • Wenn man schon nicht selbst jeder Release-Note der entsprechenden Pakete hinterherlaufen will, kann die anfragende Person aufgrund der Infos auf Wunsch selbst ein CVE-Tracking der genutzten Pakete durchführen und dem Anwendungsentwickler bei Bedarf auf die Füße treten und anfordern, dass die Software entsprechend aktualisiert wird

Wenn alles nichts hilft, kann man noch einen Pentest für die Anwendung beauftragen, was aber dann auch kostet. Aber dann hätte man (wenn's gut läuft) im Anschluss in der Regel ein Schriftstück, in dem vermerkt ist, dass keine Probleme wie SQL-Injektions, unverschlüsselte Passwörter, Memory Leaks, etc. gefunden wurden. Oder man hat eine Liste mit offenen Punkten und weiß, was man noch zu verbessern hat.
Marian
«Sei nie zufrieden, aber immer glücklich, mit dem was du tust!»
Geändert von masc-online ( 9. Okt 2023 um 19:49 Uhr)
  Mit Zitat antworten Zitat
 

« Vorheriges Thema | Nächstes Thema »

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:32 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz