Thursday, July 26, 2007

Antwort von Prof. Prechelt

Einer der Hauptverantwortlichen des Plat_Forms-Contests ist Prof. Prechelt von der FU Berlin. Ich hatte ihm heute morgen wegen der Aussage angemailt, dass alle Perl-Lösungen beim SQL-Handling schon bei leicht manipulierten HTTP-Requests fehlerhaft sind.

Ich habe auch prompt eine Antwort bekommen: Es wurde nur ziemlich einfache Szenarien durchgespielt - wo Zahlen in die Datenbank sollten, wurden Strings übergeben und es wurde nicht der "erfolgreiche Angriff" bewertet, sondern lediglich das "Symptom (Fehlermeldung)".

Weiterhin schrieb Herr Prechelt, dass sie davon ausgehen, dass die Ergebnisse soweit sicher seien (außer bei einer Gruppe). So dargestellt, sehen die Ergebnisse schon wieder besser aus. Nur schade, dass bei der Meldung bei heise.de, im Artikel in der iX 8/2007 und auf der Webseite des Plat_Forms-Contests so stark gekürzt und vereinfacht wurde. So könnte der Leser meinen, nur mit PHP kann man sichere Webanwendungen schreiben und mit Perl ist eher alles unsicher... Schade!!

No comments: