Beveiligingslekken ontdekt in MySQL database-server

Het verschil tussen bugs en securitybugs lijkt mij in deze discussie toch wel belangrijk. Dat een 'bug' in een compiler een security-bug in de gecompileerde software veroorzaakt kan ik me moeilijk voorstellen al kan ik het natuurlijk ook niet uitsluiten. De discussie over de veiligheid van compilers werd volgens mij vooral gevoerd m.b.t. met opzet gemaakte trojan-versie van compilers. En ja, die kunnen een veilig stuk software omtoveren tot een gatenkaas.

Patches op qmail kunnen natuurlijk ook weer gaten creeren. Theoretisch veilige software bestaat waarschijnlijk niet, maar dat iemand zo'n guarantee durft te geven en daar 5 jaar aan vast kan houden geeft wel aan dat het een stuk veiliger kan dan de makers van Apache, ssh, en mysql tot dusver hebben laten zien..

Mvg,
Xenna

Gezien de omvang van de source en het aantal developers denk ik dat MySQL en Apache httpd wel iets meer recht hebben op bugs dan qmail, SSH is wat discutabeler...

4 regels code bugfree schrijven kan bijna iedereen. Maar nu 4 miljoen, waarbij je naar een aantal miljoen codes linkt van modules, klassen en functies die je niet zelf geschreven hebt.... Zie dat maar eens secure te krijgen. Als ik me niet vergis linken MySQL, httpd en SSH allemaal weer aan SSL wat ze niet zelf geschreven hebben om maar een voorbeeldje te noemen.

Btw, Barnstein heeft ook een DNS server.

Ik denk niet dat je gelijk hebt.

Er is een oplopend verband tussen complexiteit en tijd. Er is een oplopend verband tussen complexiteit en kosten. Er is ook een oplopend verband tussen kosten en verkoopcijfers. Daarnaast is er nog een oplopend verband tussen verkoopcijfers en winst. En natuurlijk het overduidelijke AFlopende verband tussen winst en kosten.

Wil je goede verkoopcijfers halen, zul je veel moeten verkopen. Wil je goede winst halen, zul je zo min mogelijk kosten moeten hebben. Ergens moet er dus gesleuteld worden. Het makkelijkste wat je dan kunt doen is de kosten omlaag halen. Alleen zou dan de complexiteit omlaag moeten gaan. Maar dat kan natuurlijk weer niet zomaar, want dan gaan je verkoopcijfers omlaag. Wat je wel kan proberen is zorgen dat je minder tijd kwijt raakt aan dezelfde complexiteit.

Natuurlijk is er ook een verband tussen tijd en kwaliteit. Maar kwaliteit is duidelijk minder belangrijk. Ik heb vaak genoeg managers tegen programmeurs horen zeggen dat ze te lang bezig zijn met een bepaald onderdeel en dat het 'nou maar eens af moet zijn hoor'. Sterke programmeur als 'ie dan niet bij zichzelf denkt dat er bij het volgende functioneringsgesprek wel eens iets negatiefs over zijn prestaties verteld zou kunnen gaan worden als hij niet opschiet.

Aan de ene kant moet een programmeur veel beslissingen voor zichzelf nemen (zeker als een ontwerp slecht in elkaar zit), aan de andere kant wordt hij opgejut omdat tijd=geld. Sja, dat is een recept voor disaster.

Goed zeg! Ik heb nog niet eens Microsoft genoemd, die toch wel de trendsetter in deze is geweest. 'Software is zo goed als het platform waarop het draait'. Als het om geld draait wordt dat al snel omgedraaid: 'Software moet niet beter zijn dan het platform waarop het draait'. Anders stop je er te veel geld in.

Damn, nou heb ik toch weer Microsoft erbij gehaald .

Ik heb heel wat problemen gehad met het optimaliseren van de kwaliteit van mijn code naar de kosten ervan toen ik van CD-i programmeren naar Windows programmeren overstapte. Ik heb in het begin aardig vaak te horen gekregen dat het allemaal te veel ging kosten omdat het te lang duurde. Sja, mijn programma's *bleven* maar crashen, ik vond telkens wel weer een nieuwe manier om mijn programma en zelfs heel Windows onderuit te halen.

Bij CD-i werden we gedwongen om kwaliteitssoftware te maken. Elke titel moest naar Philips opgestuurd worden, en die gingen het daar nog eens grondig zelf zitten testen. Vrijwel geen buggy software op CD-i te vinden...

Er is een beter alternatief voor GC, en dit kan alleen in talen met echte destructors geimplementeer worden. Dit alternatief is gebruik van scoping in combnatie met objecten die destructors gebruiken voor het vrijgeven van geheugen en andere resources.

Dus wat is dit nu precies? Ik zal een zo klein mogelijk voorbeeld geven en verwacht wel wat inbeeldings vermogen van jou kant om dit verhaal niet overbodig complex te laten worden.

Voorbeeld van scoping:

int foo()
{
CFile oTestfile

if ( !oTestfile.opne( "filenaam.txt" ) )
{
// melding van niet kunnen openen bestand
}
else
{
// **** belangrijk ****
// een hele berg code die hier van alles naar het file object scrijft.

if ( !oTestfile.close() )
{
// er is een fout opgetreden in het volledig wegschrijven en afsluiten van het bestand
}
}
}

Ik hoop dat je wat can C++ en scoping afweet, anders wordt het moeilijk uitleggen In ieder geval is er een fileobject met een destructor die de file netjes opruimt als er iets mislukt en een close methode die de file netjes aflsuit. Er kunnen immers nog gebufferde gegevens aanwezig zijn en die moeten ook weggeschreven worden (wat kan mislukken). Ook de filehandles worden met de close opdracht vrijgegeven en alle geheugen die voor het bufferen gealloceerd was.

Welnu, nadat het bestand met success is geopend wordt er van alles mee gedaan en als er een EXCEPTION of een normale RETURN plaatvind die uit de betreffende scope springt, dan zorgt de COMPILER dat er code uitgevoerd wordt die de destructor van het CFile object aanroept. Als dit gebeurd en de file is nog steeds open dan kan het object alle nodige handelingen uitvoeren om de file netjes af te sluiten of te vereijderen afhankelijk van het gewenste gedrag. Dus niet alleen geheugen, ook de file handle en eventuelre andere objecten die door de file gebruikt werden.

Ik zou er ook nog een CWaitCursor omheen kunnen gooien om zo te zorgen dat ALLEEN tijdens het schrijven naar het bestand een zandloper op het scherm verschijnd. Ook is het ineens eenvoudig om database en filesystem synchroon te houden. De compiler in combinatie met de code garandeerd dat alles perfect verloopt.

In complex programma's is het voor een ander vaak niet te overzien wat de consequenties van een bepaalde annpassing zullen zijn. Te veel details. Door de beschreven stijl van programmeren bescherm je je hiertegen en is het voor een vreemde aantoonbaar dat els hij iets lkeins aanpast in een productie versie van een programma er niet ineens vage dingen gaan gebeuren.

Het gebruik van object transacties d.m.v. scoping en object destructord maakt het mogelijk de compiler alle details van de code in te laten vullen zonder dat de programmeur control verliest over wat er wanner moet gebeuren. Dit laatste is nu net wat wel geveurd in jave en C#, en de enige reden daarvoor is garbase collection.

Garbade collection is in theorie leuk, maar doordat het zo incompleet en ver van de praktijk afstaat is het gedoemd te mislukken. Dat het ook een lakse manier van ontwikkelen stiumuleerd, daar ga ik niet eens met je over in discussie (heb ik te vaak in de praktijk zien gebeuren).

Nog even terug naar de manier waarop de bovenstaande voorbeeld pseudo code in een taal met Garbage Collection zou plaatsvinden:

Je zou met exceptions werken, en je bestand zou pas later op een onbepaald tijdstip in een soort van finaliser komen.

Het verschil is dat de destructior in een taal als C++ altijd op een precies beschreven moment plaatsvind en altijd in de omgekeerde volgorde van definieren binnen een scope.

Dit laatste is essentieel om als ontwikkelaar objecten te kunnen gebruiken die mogelijk zelfs van elkaar afhankelijk zijn en automatich hun rommel opruimen. Met Garbase collection moet je alle details zelf afhandelen, waarbij het er eigenlijk op neer komt dat wanneer je controlle nodig hebt om de garbage collector heen moet programeren.

Dit laatste is nu net wat de meeste ontwikkelaars fout zullen doen en waar de meeste vage bugs in in programma' gebaseerd of een GC last van zullen hebben. Deze vorm van fouten is is veel lastiger op te sporen dan alle andere bugs die er zijn (inclusief geheugen).

En in geval wan een CWaitCursor class hief je hoef je in C++ dus all helemaal geen close of iets dergelijks aan te roepen. In een taal met GC zal je dit ALTIJD moeten doen, simpelweg omdat je niet weet wanner de garbage collector het object zal opruimen en de finaliser zal aanroepen. Je moet in een CG gebaseerde taal in een hoop situalties MEER details afhandelen. Doe je dit niet dan is de kans erg groot dat jij precies diegene bent waar ik het over heb en onwetend allerlij vage bugs in je programma hebt zitten die nauwelijks reproduceerbaar zijn!

Ik heb in het verleden jarenlang in C++ met MFC classes gewerkt en heel simple contructies gebruikt om geheugen en resources automatisch en op het juiste moment vrij te geven. In all die jaren heb ik geen enkele keer een memory leak of dubbel vrijgegeven geheugen of andere meegemaakt.

Als je deze techniek in combinatie met arrays en andere basis programmeer elementen toepast dan heb een een veel robuuster resultaat dan met GC gebaseerde talen. En een ervaren ontwikkelaar hoeft dan ook niet langer tegen de taal en compiler te programmeren, maar wordt er door ondersteund!

Nou, dat is pas vooruitgang!

Voor de duidelijkheid:

C++ is geen C met een smaakje.
C++ is strong typed, en heeft veel OO features.

Ik ben ook een voorstander van decleratieve oplossingen omdat deze niet de controle uit handen geven, maar er wel voor zorgen dat de details foutvrij door een compiler of interpreter afgehandeld kunnen worden.

"Dus welke aanpak denk je nou dat op lange termijn en met oplopende complexiteit in programm's een betere aanpak is?"

Grappig "mbravenboer", je antwoord op de deze vraag daar kan ik mij geheel in vinden. Op het ogenblik gebruik ik ook geen C++ meer, maar voornamelijk XSLT en domein specfieke talen. Maar aangezien de meeste software hier NIET in ontwikkeld wordt, maar in talen als java, C#, VB en C++ denk ik dat mijn analyse toch relevant is. Ik zie in java en C# en VB eigenlijk ook wel niet de oplossing voor de problemen die men heeft gehad met C++. Mijn punt is dan ook dat je als ontwikkelaar met kennis van zaken er met java en C# dan ook alleen maar op achteruit gaat. Ze lossen niets op dat met een goede programeerstijl in C++ niet beter op te lossen is.

En zoals je aan mijn voorbeeld reeds zag heb ik jaren geleden in een taal als C++ al voolop decleratief ontwikkeld. De declareerd m.b.v. een scope wat de levensduur van een object is en hoe lang je bepaade functionaliteit (de waitcursor) actief wil laten zijn. Dit is heel simpel en voorkomt dat je je als ontwikkelaar met details bezig moet houden. Het is tevens opbouwend omdat je geen controle wegneemt, maar het naar een hoger abstractie nivo lift. Talen met GC bieden een halve oplossing en maken de rest van de cases moeilijker en foutgevoeliger.

Lol,

Met alle respect ik ontwikkel veel in XSTL, en XSLT is volledig decleratief. Maar de kern van 'decleratief; is dat je iets vooraf definieerd en dat dat verder door een compiler of interpreter afgedwongen wordt.

Ik heb wel degelijk ervaring met talen die 'zelf' geheugen vrijgeven wanneer het hun uitkomt. Bijna alle scripttalen hebben deze 'voorziening' en ik werk hier ook veel mee. En ik kan ook je vertellen hoe laks mensen hiervan gaan programeren en wat voor bugs hierdoor ontstaan. Gelukkig worden deze talen niet voor zware topassing gebruikt. Maar dit excuus gaan niet op voor java en C#!

Wat betreft GC en exceptions is het zo dat de ontwikkelaar in beide gevallen de details zelf moet afhandelen of kennis van de gebruikte objecten moet hebben wanneer hij dit na wil laten.

Ook dit is een probleem, aangezien men niet kan weten of een object onder water nog wat andere resources dan geheugen gebruikt. Dus of de ontwikkelaar moet alles doen wat een taal in C++ automatisch doet. Of hij moet kennis van de interne implementatie hebben van de objecten waarmee hij werkt.

Heeft een ontwikkelaar geen detail kennis over de implentatie van een object (zoals in OO gebruikenlijk, er zijn slechts interfaces) of als hij niet bij ieder object dat hij gebruikt een close method aanroept (zoals M$ adviseert voor .net) dan loop je het risico op onverklaarbare en onrepoduceerbare fouten.

Voorbeeld is een object dat als bijwerking bestanden lockt (implementatie). Als dit object nog niet is vrijgegeven, maar het object is conceptioneel wel uit de scope, dan zal bij een volgende iteratie in een lus dat weer dit bestand probeerd te locken een deadlock of een error ontstaan. Deze deadlock gaat pas over als the GC het eerste object heeft opgeruimt.

Kortom de programeur moet in de praktijk meer details afhandelen en ook nog eens meer kennis van de interne werking van objecten hebben. Dit laaste is nu net wat OO moet voorkomen, dmv abstactie en interfaces.

OO en GC zijn elkaars vijanden wat betreft imperatief programeren! Wat betreft je argument dat het vreemd is dat dit nu allemaal net in de nieuwste generatie talen gebruikt wordt het volgende.

De talen markt en aanverwante tools wordt zuiver gedreven door commerciele belanngen. Dit geld zowel vor java (sun) als voor .net (M$). Beide verdienen goud aan het uitbrengen van hun eigen talen en de daaraan gekoppelde tools en cursussen, etc.

Is C++ perfect? Nee, helemaal niet, maar wat nu in deze 'nieuwe' talen geintroduceerd is plaats on alleen maar verder van een werkende oplossing en niet dichterbij. Een reden waardoor het soms anders kan lijken is doordat er ondertussen zoveel meer herbuikbare code is. Er zijn bijvoorbeeld mensen die een eigen browser maken en alleen maar een IE BRowser control of een form hebben gesleept. Ik bedoel maar, het is allemaal zo moeilijk in te schatten voor mensen! En dus volgen ze allemaal braaf het pad dat door de grote parijen is uitgezet!

Deze dagen hou ik mij vooral bezig met architectuur en ontwikkel ik allen nog maar gelaagd en dus met verschillende talen tegelijkertijd (DHTML, javascript, vbscript, COM, SQL, maar wel gescheiden gelukkig).

Maar ik kun je vertellen dat wat betreft dat transactie gericht denken en gebruik maken van scoping alle talen een puntje kunnen zuigen aan C++. En dit in combinatie met sober OO gebruik levert in mijn ogen dan ook de meest betroubare code op. Niets verstokt dus, maar ik mis die tijd wel ja. Goed mee in de vaart der volkeren en hopen dan M$ en sun er een niet nog grotere puinhoop van gaan maken. Ik vertik het echter om achter iedere nieuwe mode aan te hollen en alles wat ik met zekerheid weet door dom commercieel gebrabbel to laten overschreewen.

Hoeveel jaar programeer ervaring had je ook al weer? Vast niet meer dan 18

Niet alleen complexiteit. In de jaren '90 zijn zo veel automatiseringsprojecten mislukt en dat heeft zoveel geld gekost dat niemand meer veel geld voor een automatiseringsproject durft te vragen. Er wordt van commercieele zijde tegenwoordig zo'n beetje *altijd* water bij de wijn gedaan. De marges zijn heel klein geworden. Dus staan programmeurs onder grote druk om een planning te halen die ze zelf niet hebben gemaakt. Die planning is vrijwel altijd (te) krap. Dus worden er vrijwel altijd shortcuts genomen bij het testen.

In principe hoeft complexiteit namelijk helemaal niet ten koste van de software te gaan. Als je alles modulair opbouwt en je netjes de communicatie tussen de modules afspreekt, zou er in principe niets fout moeten gaan. Toch gaat het fout. Waarom? Afgeraffelde modules.