News Corona-Datenspende: CCC entdeckt Schwachstellen in App des RKI

DFFVB · 21. April 2020

@DKK007 Ich selber habe auch fünf E-mail-Adressen. Wie siehts denn mit Deiner Mutter / Schwester / Freundin aus? Die auch? Die App soll für ganz Deutschland funktionieren... Es war auch eher eine Causa Colorandi.... Also ja grundsätzlich gut, aber nicht für alle anwendabr :-)

RfgsWlcm2k17 · 21. April 2020

rolandm1 schrieb:
Wenn das alles so stimmt, was das CCC herausgefunden hat, ist es mir egal, was daran noch verbessert wird.
Vetrauen kann ich da nicht mehr.

Ist hoffentlich Ironie ansonsten ist manchen nicht mehr zu helfen. Dass in der Entwicklung von Apps Fehler passiert ist absolut normal. Wichtig ist dass diese behoben werden und genau das geschieht wie diese News beweist...also nimm bitte deinen Aluhut ab und installiere die App, ansonsten beteiligst du dich aktiv an der Pandemie und gefährdest somit dich selbst und andere !

sdffffds.sadofi · 21. April 2020

die funktionalität von dp-3t ist in diesem comic recht gut dargestellt:

https://github.com/DP-3T/documents/blob/master/public_engagement/cartoon/de/comic-de.pdf

Kotzkroete · 21. April 2020

Gleich hagelts wieder minus für mich. Per EU und Gesetz ging es nicht. Corona als Grund für Fläschendekende Überwachung. Sie werden es freiwilig tun. Was besseres gibt es doch nicht. Den guten Grund als Vorsatz mal aussen vor.

DieRenteEnte · 21. April 2020

Stichwort: Open Source

Wenn es um so etwas Wichtiges geht, dann muss man auf Open Source setzen.
Es müssen mehrere Unternehmen UND der Staat UND Leute von CCC und Co. daran beteiligt sein, damit man nicht nur möglichst fehlerfreien Code schreibt, sondern auch die Gesetze beachtet und die Daten der Bürger schützt.

Es kann mir niemand erzählen, dass man versehentlich über Stunden Code geschrieben hat, welcher die persönlichen Daten überträgt und absichtlich nicht anonymisiert. Dass so etwas irgendwann im Nachhinein gemacht wird, ist wohl die dümmste Ausrede und dürfte von Anfang an gar nicht erst erlaubt sein....

Asanpalaro · 21. April 2020

DFFVB schrieb:
... wonach jeder seinen eigenen Mailserver betreiben soll, und ca 20 verschiedene E-Mail Adressen, für jeden Dienst was eigenes, dann mag das "best pratice" (nach seinem Verständnis) sein, aber ist weit weg von jeglicher Realität...

Wieso weit weg? Domain mit Catch All Adresse und fertig. Mailserver wäre dann der nächste Schritt. Jeder meiner anmeldungen hat ein andere E-Mail Adresse. Und es macht null Aufwand und man kann Spam und Co gezielt nachvollziehen.

Zurück zur App: Ich hatte diese auch drauf. Aber bei Anzahl der gespendeten Daten stand immer "0", egal ob ich die Watch 24 Stunden um hatte. Das ergab dann für mich keinen Sinn und dann habe ich es sein lassen. Dafür darf der Rechner bei Folding@Home dran. Ob es was bringt oder nicht, steht auf einem anderen Blatt.

NutzenderNutzer · 21. April 2020

sicher dass es ne schwachstelle und nicht die backdoor ist?)

HansJolb · 21. April 2020

Ohne OpenSource never ever!

iimpact · 21. April 2020

rolandm1 schrieb:
Warum kann in D eigentlich nichts mehr vernünftig entwickelt werden.

Das ist kein deutsches Phänomen.

0-8-15 User · 21. April 2020

CyrionX schrieb:
Eine 100% perfekte APP?

Hätte ich ein Smartphone, würde mir eine App genügen, die nicht "Broken by Design" ist.

Edit: Dass das Ganze außerdem maximal transparent ablaufen müsste, ist hoffentlich selbstverständlich.

nein danke · 21. April 2020

CyrionX schrieb:
Also bei den Kommentaren grauts mir richtig.
Eine 100% perfekte APP? Also bitte. Man scheint den Sinn des Prozesses nicht zu verstehen.
Wichtiger als absolute Perfektion vom ersten Tag an ist was daraus gemacht wird sobald Fehler entdeckt werden. Man bekommt eine Sicherheitsanalyse und adaptiert, die eigene Software dementsprechend. Eine jahrelange Vorlaufzeit gibt es diesmal nicht. Wir reden hier von gerade mal 3-4 Monaten. Dieser selbsterstellte Anspruch der Kommentatoren, der dann natürlich nur scheitern kann, zeugt keinsfalls von Realitätssinn.
Oder was meint ihr wie das in anderen Firmen läuft? Es kommt ein Sicherheitsberater und sagt, "oh, da ist noch ne Lücke im Code, müsste man fixen. So und so zum Beispiel." Dann stellen wir uns vor, es kommt ein geneigter Forenleser und verlangt die Schliessung des Unternehmens weil sowieso alles klar war und da könne eh nichts richtiges dabei herauskommen und was auch immer, alles doof, Punkt..., Fakt... ist, etc...

Perfektionistisches Geschwurbel von Fehler-intoleranten individuen, die wohl jedem anderen sofort alles auf die Nase binden aber bei Eigenkritik sofort die Polemikkeule schwingen.
Mehr als das kann man einach nicht aus den Antworten hier herauslesen. Nur destruktive Katastrophisierung, anstatt konstruktives Lob, dass Vorschläge des CCC direkt umgesetzt wurden.
Wer die APP nicht nutzen will soll halt nicht. Zum abjammern sind andere Themen sicher besser geeignet.
Falls sich der ein oder andere nun emotional getriggert fühlt, bitte sehr. gern geschehen und selbst schuld.

@CyrionX
Mit anderen Worten: Software unter Zeitdruck lückenhaft und mit Missachtung wichtiger Sicherheitsprinzipien zu entwickeln ist der Normalfall. Und Sicherheitslücken werden halt irgendwann im Nachhinein gestopff. Verstehe ich dich richtig, dass nichts daran auszusetzen wäre? Ich erinnere mich aus den letzten Nachrichten daran, dass die App als annonym und sicher angepriesen wurde. Voll gruselig. (Ganz bestimmt vertrauen Sie uns.)

Der CCC hat nur einen Black-Box-Test machen können, weil der Code nicht bekannt ist. Was passiert mit den Löchern, die nicht gestopft werden können?

ugurano2019 · 21. April 2020

die werden halt nicht einfach angenommen was ich schade finde

yummycandy · 22. April 2020

NutzenderNutzer schrieb:
sicher dass es ne schwachstelle und nicht die backdoor ist?)

Das ist eher ein Designfehler.

feris · 22. April 2020

Daten über den direkten Zugriff auf Server vom Anbieter geholt. Mit Namen und allem drum und dran.
Es geht hier nicht um eine Schwäche oder Fehler in einer App.

Bei dem ganzen Konzept sträuben sich einem alle Nackenhaare, solange man nicht durch den täglichen Sozialstripp in sozialen Netzen schon völlig unsensibel gegen jeglichen Datenschutz geworden ist.

SeBi1896 · 22. April 2020

Das zergeht mir richtig auf der Zunge CCC

, schön wieder zu hören

Gibt es ein umdenken, zur damaligen Verstoßung ...?
Find ich gut, aber etwas lang her... um hier im Lande zu Bauen...

App hin oder her ,
ich denke vieles ist gut
( was helfen kann, der Papst kann das schon lange nicht mehr

).
Code Fehler kitten und es geht weiter...

Das was die alten nicht schaffen , müssen wir (#junge +++) Gen. schaffen !

Schaft und übt euch in Geduld und Mut, bleibt Gesund !!!

SunnyBeachLazur · 22. April 2020

warum wird der ccc nicht einfach bei der entwicklung eingebunden. ich verstehe das nicht... so ist es wieder schön peinlich fürs rki.

mal ne allgemeine frage. man kannte ja das rki immer nur vom hören sagen und für mich war es ein angesehenes institut (ohne großartig viel darüber zu wissen) und hatte auch weltweiten ruf und ruhm.
jetzt finde ich es nur noch peinlich und ich schäme mich auch irgendwo dafür.

NutzenderNutzer · 22. April 2020

Transparenz bei ner Behörde, CCC einbinden? Du Träumer

chartmix · 22. April 2020

Irre ich mich oder liest sich ein großer Teil der Kommentatoren die Meldungen gar nicht mehr durch?
Es steht explizit in der Meldung, dass es um die sog. Datenspendeapp geht und NICHT um das noch zu finalisierende Tracingprotokoll!
Beim posten von Kommentaren sollte vielleicht in Erwägung gezogen werden die Lesekompetenz mit einem kleinen Test zu überprüfen.

News Corona-Datenspende: CCC entdeckt Schwachstellen in App des RKI

Commodore

Lt. Junior Grade

sdffffds.sadofi

Gast

Ensign

Fleet Admiral

Asanpalaro

Gast

Banned

Banned

Lt. Junior Grade

Vice Admiral

nein danke

Gast

Cadet 3rd Year

Commodore

Captain

Captain

Cadet 1st Year

Banned

Commander

Ähnliche Themen

Passend zum Thema