Kategorie: Software Entwicklung

Leserbrief iX 1/19: Beschränkte Informatikersicht

(Testen: Die Zukunft von Softwaretestern – einePrognose; iX 12/2018, S. 88)

Wenn man sich in das Rollenmodell des IT-Testers einarbeitet, das zusammen vom German Testing Board und der Gesellschaft für Informatik entwickelt wurde, sieht man, wie ein expliziter Tester den Informatikern zur Seite stehen kann. Die Vielfältigkeit der dort beschriebenen Aufgaben auf die Entwickler abzuwälzen, wäre so, als würde ein Industriearbeitnehmer alle Aufgaben von der Produktplanung bis zur Auslieferung bei EDEKA selbst erledigen – das ist wohl eher nicht wünschenswert, da man dafür viele unterschiedlichste Kompetenzen in einer Person vereinigen müsste. Der einstige „Bughunter“ ist sicherlich schon länger passé, aber der Tester, der die Entwickler besser macht, ist etwas, was es auch in den nächsten Jahrzehnten noch geben wird. Ich suche immer nach Parallelen aus meinem alten Job in der Lebensmittelindustrie, und da geht nichts, ohne dass nicht die Qualität stimmt. Und weil gerade Querschnittsthemen in der agilen Welt ein Problem darstellen können, hilft der Kommunikator oder „die Bauchspeicheldrüse“ des Projekts (Alex Schladebeck),die die Dinge zusammenführen kann.

Informatiker lernen in ihrer Ausbildung selten etwas über Grenzwerte, Sicherheitstests, Akzeptanztests – so meine Erfahrung in 20 Jahren … und das gerade bei Sicherheit nur auf Sourcecode zu beziehen, kann sehr gefährlich sein, wenn man bspw. SAST-Tools mal anschaut, die viele Entwickler kennen und die beim OWASP-Benchmark gerade mal etwa 30 % aller Sicherheitsfehler finden. Wenn da nicht ein Sicherheitstester noch andere Wege aufzeigt, um Einfallsvektoren zu bestimmen, ist Ihr Start-up schneller gehackt, als Sie die Worte „Sicherheitstests wären gut“ sagen können. Agile Testing / More Agile Testing (zwei Standardwerke, d. Red.) beschreiben die Dinge, die in die agilen Strukturen mittlerweile aufgegangen sind, und beschreiben ziemlich gut, wie sich die Berufswelt des Testers veränderte. Wir würden andere Produkte, wie Autos,Zahnpasta, Brot, Gemüse, nicht kaufen,wenn wir nicht wüssten, dass sich jemand um die versprochene Qualität des Produktes bemüht. Warum manche Informatiker denken, ihre Welt funktioniert anders als die restliche, wird mir ewig ein Rätsel bleiben. Denn die Projekte, die meinten, nicht auf Qualität zu setzen, gibt es oftmals nicht mehr. Die, die wussten, welchen Fehler sie gemacht haben, lehren andere Gründer auf Qualität zu setzen.

JÖRG SIEVERS, AHRENSBURG

DTrace nun frei für Linux

Der wohl beste Kerneltracer der Welt, DTrace, den Sun Microsystems einst für Solaris entwickelte und auch schon bei macOS als „Instruments“ implementiert wurde, findet nun hoffentlich, endlich auch den Weg nach Linux, den Oracle hat die Lizenz auf GPL geändert.

DTrace findet durch einfaches sog. „proben“ der Kernelzugriffe sehr detailiert Performance-Leaks. Der Vortrag von Thomas Nau 2007 auf der OpenSolaris Developer Conference in Berlin (parallel zur German Unix User Group Fachtagung) hat mir seinerzeit die Augen geöffnet. Thomas hält auch heute noch aktualisierte Vorträge (2015) um in DTrace einzusteigen.

OpenSolaris in Germany

Thunderbird/Lightning ExchangeCalendar Plugin v4.0.0-beta5

Wer, anstatt mit Outlook, mit Thunderbird seine tägliche Arbeit auf einem Exchange-Server verrichtet, benötigt kleine Helferlein. U.a. auch das einst von Ericsson entwickelte und nun durch andere Entwickler übernommene ExchangeCalendar-Plugin. In Version 4.0.0 (Beta 5) kommt nun einiges an Verbesserungen und Fixes, u.a. auch der Kompatibilität zu Lightning 5.4.2.

 

NET::ERR_CERT_COMMON_NAME_INVALID oder SSL ist nicht mehr Dein Freund

In einer Testumgebung teste ich Websocket-Verbindungen (wss://) und benutze dazu Ready!API von SmartBear mit SOAP UI Pro und WebSocket-Plugin. Soweit so gut. Nun haben wir ein Testenvironment mittels vagrant, ansible und VirtualBox aufgesetzt und was bisher lokal auf meiner Maschine funktionierte, indem ich die „self-signed“ Zertifikate auf CN=localhost in die JRE von Ready!API importierte (keytool -import -alias myalias -file <path_to>\localhost.crt -keystore cacerts -storepass changeit), funktionierte auch bestens mit einem Testnetzwerk im LAN (ohne den Import, da ein LoadBalancer wunderschön gültige Zertifikate lieferte).

Nun funktionierte es aber nicht mehr auf dem lokale „virtuellen“ VirtualBox-Netzwerk und auch Onkel Google (Chrome) verweigerte den Dienst mit

NET::ERR_CERT_COMMON_NAME_INVALID

Glücklicherweise war Onkel Google auskunftsfreudig und meinte das CN=<hostname> nicht mehr ausreiche, sondern man durch die „Extensions“ im Zertifikat möge man doch „alternative Namen“ mitgeben. Hä?

Tja, nicht der Zertifikats-Antragsteller muss die mit angeben, sondern die CA, die das Zertifikat signiert! D.h. beim Signierprozess in den Extensions

.... -ext san=dns:test1,ip:1xx.1xx.x.x

Als hilfreiches Tool sei hier KeyStore Explorer 5.5.2 (Windows) erwähnt, denn dort kann man die notwendigen Eintragungen beim Signaturprozess vornehmen.

34c3: Zwei-Faktor-Authentifizierung muss sein!

Immer wieder schön zu sehen: Vincent Haupert demonstriert wie unsicher die mobilen Banking-Apps von heute sind – jedes Jahr auf dem CCC aufs Neue. Ich bete also, wie jedes Jahr die selbe Leier:

Liebe Banker, vor allem liebe Marketing-Leuts bei den Bankers,

ihr könnt Euch noch so aberwitzigen Blödsinn einfallen lassen, aber zwei Faktoren sind besser als einer um sich Euch gegenüber zu authentifizieren. chipTAN nach wie vor ganz weit vorne… OneAppForAll ist einfach nicht sicher zu machen.

Danke Vincent für Deine immer erfrischenden Vorträge!

Weitere Infos zum Angriff: https://www1.cs.fau.de/nomorp

GPGMail für macOS 10.12 Sierra (Beta 1) erschienen

Für alle Mac-Besitzerinnen und -Besitzer die zwischenzeitlich nur Thunderbird oder ihr iPhone benutzen konnten um verschlüsselte eMails bzw. verschlüsselte Eingangspostfächer einzusehen, hat das Warten ein Ende. GPGMail (enthalten in den GPGTools) ist in der 1. Beta erschienen und funktioniert auf meiner Sierra-Installation einwandfrei im Standardmodus (=1 private-Key für alles)

Wer sich auf der Mailingliste auf dem „Sierra-Thread“ einschreibt, bekam gestern um 21:39h MEZ Post.

Exchange Calendar Addon 3.8.0 für Thunderbird erschienen

Ermöglicht es Ihnen Kalender, Aufgaben und Kontakte mit einem Microsoft Exchange 2007/2010/2013 EWS Server aus Lightning heraus zu synchronisieren.

Sie können diese Kalender- und Aufgabeneinträge betrachten, löschen, erstellen und aktualisieren. Sie können die „Out of Office“-Einstellungen verwalten.
Sie können Kontakte und globale Adresslisten lesen und für die Autovervollständigung der Adressen nutzen.

Übersetzungen in Niederländisch, Französisch, Deutsch Schwedisch und Japanisch.

Nachdem in kurzer Folge mehrere Betas herausgekommen sind, steht nun die Release 3.8.0 zum Download bereit.

85 Millionen Android-Geräte von HummingBad-Malware befallen

Den Sicherheitsforschern von Checkpoint zufolge hat sich der Android-Trojaner HummingBad weltweit mittlerweile auf 85 Millionen Geräten eingenistet. In Deutschland seien 40.000 Smartphones und Tablets betroffen; insgesamt habe es hierzulande über 13 Millionen Angriffsversuche gegeben, schreibt Checkpoint in einer aktuellen Veröffentlichung. Ob ein Gerät infiziert ist, könne man nicht ohne Weiteres erkennen.

Quelle: 85 Millionen Android-Geräte von HummingBad-Malware befallen | heise online

Spätestens jetzt, wenn nicht schon nach dieser Meldung,

Die Voll-Verschlüsselung von Android-Smartphones weist ein ernsthaftes Design-Problem auf, das die geschützten Daten sehr angreifbar macht, erklärt ein Sicherheits-Forscher. Er belegt dies mit konkretem Code, der Brute-Force-Angriffe demonstriert.

Quelle: Heftiger Schlag für Android-Verschlüsselung | heise online

dann würde ich spätestens jetzt mal über die Auswahl des mobilen OS nachdenken.