[l] Es gehen gerade zwei Stories über Sicherheitslücken in der "Schul-Cloud" herum, die vom Hasso-Plattner-Institut entwickelt worden ist.
Die erste:
Das Ticketsystem ist öffentlich einsehbar. Das ist üblich bei Open Source-Projekten. Nur dass sich die Nutzer hier halt mit ihren Realnamen einloggen und minderjährig sind. Ich vermute mal, dass daran einfach keiner gedacht haben wird beim HPI.
<
p>Die zweite:
Man kann sich da anscheinend auch als unbefugter Außenseiter einen Account einrichten und dann darüber die Realnamen von Schülern einsehen.
<
p>Das sind leider häufige Probleme.
<
p>"Programmierer" hieß früher, dass man ein Problem hat, und eine Lösung dafür programmiert. Wenn man das nicht kann, dann geht es halt nicht und man läuft nicht rum und behauptet, Softwareentwickler zu sein.
<
p>Heute sind alle möglichen Mausschubser als "Programmierer" unterwegs, die aber eigentlich hilflos sind und das tatsächliche Problem gar nicht lösen können oder wollen, und die stöpseln dann halt mit Klebeband existierende Komponenten zusammen. Die leisten dann halt nicht genau das, was gebraucht wird, sondern nur etwas ähnliches.
<
p>Ich empfinde das als selbstverschuldete digitale Unmündigkeit und schäme mich praktisch beständig dafür, dass die IT-Branche heitzutage praktisch nur noch aus solchen Leuten besteht. Die Ausreden sind auch jedesmal dieselben. Da kann ICH doch nichts für, dass die Komponente das halt so macht!1!! Für mehr hatten wir keine Zeit (oder: kein Budget)!1!!
Aus der Perspektive von so einem Blender-Typen, der nur anderer Leute Arbeit remixt, ist das ja vermutlich auch eine akkurate Einschätzung.
Mein Eindruck war nur, dass das HPI sich da gerne anders präsentieren wollte bisher.
Da sind die Zweifel jetzt ausgeräumt.
Eine Sache will ich da mal ganz klar ansagen: Das waren noch keine Sicherheitslücken im Programmier-Sinne. Das waren eher Konfigurationsfehler. Es wird wahrscheinlich noch dauern, bis die Programmierfehler gefunden werden.
#
fefebot 
