Die 25 gefährlichsten Programmierfehler

Unter Führung des SANS Institute und der Nonprofit-Organisation MITRE haben sich 30 Sicherheitsexperten auf eine Liste mit den gefährlichsten Programmierfehlern geeinigt, auf die Entwickler nicht oft genug testen und bei denen in Kursen und bei der Programmierausbildung nicht ausreichend darauf hingewiesen wird, wie sie zu vermeiden sind. Die Fehler bei der Entwicklung können zu schwerwiegenden Sicherheitslücken führen und Systemausfälle verursachen beziehungsweise Kriminellen den Datenklau erleichtern. Die Liste soll nun dabei helfen, die Ausbildung zu verbessern und Testtools zu entwickeln, was im Endeffekt zu sicherer Software für den Verbraucher führen soll.

Die Sicherheitsexperten haben die 25 Fehler in drei Kategorien eingeordnet. In der ersten geht es um die unsichere Interaktion zwischen Komponenten – hierzu zählen beispielsweise SQL Injections und CSRF-Lecks (Cross-Site Request Forgery). In der zweiten listet man Fehler im Ressourcen-Management auf, die unter anderem Speicherüberläufen führen können, und in der dritten allgemein schlechte Schutzmechanismen. Das sind etwa das Ausführen von Befehlen mit größeren Rechten als notwendig, das Nutzen von nicht ganz so zufälligen Zufallszahlen, hardkodierte Passwörter und falsch vergebene Rechte. (Daniel Dubsky)