Wie gesagt ist genug Material da. Ej, wenn man sich vorstellt dass die medizinische Augenlaser verkaufen, mit den Prozessen. Da würde ich eher jemand mit einem Klappspaten an meine Augen lassen. Also weiter.
Single Sign-on von Active-Directory ist ja schon komfortabel. Ein Login für alle Microsoft-Systeme in der Firma. Und wenn man ein anderes System hat was nicht auf Microsoft basiert kann man da z.B. ein Ldap vorschalten als Proxy und dann kann auch die Web-Applikation die gleichen Benutzerdaten zur Authenitifizierung verwenden. Hach ist das komfortabel.
Was jetzt nicht so gut ist, ist wenn man sämtliche Benutzernamen und Passworte über Url-Parameter überträgt und das unverschlüsselt. Gut seit Neustem wird HTTPS verwendet. Das macht aber auch wenig Sinn wenn man in den Apache-Logs sämtliche aufgerufenen URL's speichert also auch Benutzername und Passworte von jedem, der das System verwendet. Sind meist irgendwelche Admins oder leitende Angestellte die was recherchieren oder freigeben müssen.
Hahaha und all deren Benutzernamen und Passworte sind in den Logs im Klartext. Also quasi Zugriff auf alle Systeme der ganzen Firma von X Leuten zu einem guten Teil in leitenden Funktionen. Bekommt irgendwer ein mal so ein Log zu fassen, auch nur ein stinknormaler Entwickler, der mal in den Logs was nachlesen soll und stinkig ist auf die Firma, kann dieser sich von ziemlich vielen Leuten die unternehmensweiten Credentials besorgen und wenn er will sicherlich einen großen Teil des Konzerns lahmlegen. Ist natürlich schon heftig wenn man sich alle Rechte und Rollen all dieser Leute in all den verschiedenen Systemen zusammenadiert. Holla die Waldfee. Wenn man an so eine Aktion auch noch jemand dransetzt, der weiß wie man Systeme verschlüsselt oder auch kaputt macht. Hahahahahahahahahahahaha.
Selbstverständlich habe ich all diese Probleme angesprochen, aber die waren der Ansicht, dass ich nur den Auftrag verlängern will. Natürlich wurde alles abgelehnt was nicht dazu gedient hat das SCHNELL in die Cloud zu werfen damit man ein Hacken hinter das Projekt machen kann. Der Typ meinte, weil da nie was passiert ist bisher wäre das System sicher und würde STABIL laufen. Hahahahahahahahahahaha. Stabil mein Freund ist nur dein völliger Realitätsverlust in dieser Sache. Der ist so stabil, dass ich glaube bei dem Zustand helfen keine kurrativen Maßnahmen sondern nur noch das baldige Einschläfern.
Keine Kommentare:
Kommentar veröffentlichen