Dovne copy-paste-udviklere skaber usikre applikationer

Flere populære kodebidder på Stack Overflow er sårbare over for almindelige hackerangreb, advarer forskere bag ny undersøgelse.

Hvis det skal gøres ordentligt, skal du gøre det selv.

Det er læresætningen fra en ny undersøgelse, hvor en gruppe forskere har undersøgt mere end 72.000 kodebidder på platformen Stack Overflow.

Hjemmesiden Stack Overflow bliver blandt andet brugt udviklere til at finde gode råd til kodestumper, hvis deres egne ikke fungerer.

Men ifølge undersøgelsen er mange af de mest populære kodebidder, som findes på hjemmesiden, sårbare over for selv simple hackerangreb.

»De mennesker, som bruger Stack Overflow, bør ikke stole blindt på tjenesten,« har en af forskerne bag studiet ved navn Ashkan Sami sagt til The Register.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Nobel

Hvis en overskrift skal være provokerende - så er det lykkedes :-)

Enig.

For man kan slet ikke stille det så simpelt op - mange gange kan kodestumper fundet på SE være fuldt valide og er lige den stump man mangler.

Det har intet med dovenskab at gøre, men at drage fordel af andres erfaringer.

Og implementeret fornuftigt er der ingen problemer i at genbruge metoder andre har fundet gode - det vil da være dybt tåbeligt bare af princip at genopfinde den dybe tallerken, måske endda med et dårligere resultat til følge.

"Forskere" my bare ....

  • 6
  • 1
Lasse Mølgaard

Personligt bruger jeg kun Stack Overflow, når jeg vil diskutere proof of concept.

De løsninger som jeg har modtaget derinde, har jeg ikke kunne bruge direkte linje for linje, men kodestumperne har derimod vist mig hvordan jeg kan tilpasse koden, så den virker på mit problem.

Det er dog stadigvæk min egen opgave at holde styr på at koden har ikke en utilsigtet sideeffekt, såsom buffer overflow, SQL-injektion og lignende.

  • 0
  • 0
Sune Marcher

I stand corrected - beklager at min reaktion var ud fra clickbaitoverskriften.


Den er også lidt mere end almindeligt provokerende ;-)

De finder 69 snippets med fejl ud af 72000 C++ code snippets - imponerende med ~0.095% fejlrate i ikke-kommerciel kode, omend scope naturligvis er super småt når der blot er tale om korte snippets.

Til gengæld bliver de snippets genfundet i 2589 GitHub projekter, hvilket er en hovedløs copy-paste faktor på 37.52x... så jeg synes egentligt at "Basically, what we tried to show is that using Stack Overflow without reviewing it carefully can lead to potential vulnerabilities inside applications" er fair nok.

  • 2
  • 0
Finn Hansen

"Hjemmesiden Stack Overflow bliver blandt andet brugt udviklere til at finde gode råd til kodestumper, hvis deres egne ikke fungerer."

Journalister er også dovne og bruger #translate_billigge_indlæg

Naturligvis skal man som programør gå kode igennem, man som programør kopier, hvis man ikke gør det, er programøren jo udviden om, hvad programmet gør og derfor er hans/hendes program jo ekstremt sårbar over for fejl. Jeg håber da ikke der er nogen der blot kopier og indsætter uden at tjekke kodens validitet.

  • 1
  • 0
Lars John Jørgensen

Enig.For man kan slet ikke stille det så simpelt op - mange gange kan kodestumper fundet på SE være fuldt valide og er lige den stump man mangler.Det har intet med dovenskab at gøre, men at drage fordel af andres erfaringer.Og implementeret fornuftigt er der ingen problemer i at genbruge metoder andre har fundet gode - det vil da være dybt tåbeligt bare af princip at genopfinde den dybe tallerken, måske endda med et dårligere resultat til følge."Forskere" my bare ....

Hvis du ønsker at lave din kode sikker, så er du nødt til at stille dig selv spørgsmålet: "I hvor høj grad kan jeg stole på de gode intentioner bag denne kodestump jeg genbruger?"

Hvis du ikke kan garantere, at du afleverer kode der er sikker, påfører du din virksomhed risici som din topledelse end ikke har kendskab til.

Spørger du mig vil jeg sige, at det er dybt uansvarligt.

Hvis du er ligeglad med sikkerhed synes du at være på rette spor...

  • 1
  • 3
Christian Nobel

Hvis du ønsker at lave din kode sikker, så er du nødt til at stille dig selv spørgsmålet: "I hvor høj grad kan jeg stole på de gode intentioner bag denne kodestump jeg genbruger?"

Hvis du ikke kan garantere, at du afleverer kode der er sikker, påfører du din virksomhed risici som din topledelse end ikke har kendskab til.

Spørger du mig vil jeg sige, at det er dybt uansvarligt.

Hvis du er ligeglad med sikkerhed synes du at være på rette spor...

Hvis lige du stiger ned fra piedestalen, så sagde jeg ikke noget om at man ukritisk skulle klippe-klistre et helt program, men at man kunne finde metoder/funktioner, som kunne give en svaret på det problem man sidder og mangler et indspark til at løse.

Selvfølgelig skal man ikke bruge programstumper ukritisk, og man skal selvfølgelig se på hvad det er man finder og forstå hvad det gør - det er jo ligesom det der er hele ideen, nemlig at det bringer forståelse, i stedet for man skal opbygge alt fra starten selv.

Men siden du nu er så god, så formoder jeg vel også at du kun bruger en ren C, og ikke anvender et eneste library skrevet af andre - for det må vel så anses for dybt uansvarligt.

Husk lige, at når man peger, er der som regel tre fingre der vender bagud.

  • 2
  • 0
Lars John Jørgensen

Men siden du nu er så god, så formoder jeg vel også at du kun bruger en ren C, og ikke anvender et eneste library skrevet af andre - for det må vel så anses for dybt uansvarligt.

Jeg programmerer slet ikke! :-) Men jeg ved dog, at der skal kun en enkelt usikker kode-stump til at gøre et helt system sårbart....

Og med hensyn til piedestalen, så bliver jeg hvor jeg er idet jeg har valgt at angribe sikkerheden fra en virksomheds- og forretnings-vinkel, blandt andet ved at rådgive virksomheder om hvordan de styrer deres sikkerhedsindsats.

  • 1
  • 4
Lasse Mølgaard

Jeg programmerer slet ikke! :-) Men jeg ved dog, at der skal kun en enkelt usikker kode-stump til at gøre et helt system sårbart....

Okay... Der landede du lige tommelfinger nedad fra mig.

Du provokerer mig ligefrem til at spørge:

"Ved du overhovedet hvad det er vi snakker om?"

Ja. Det er rigtigt at hvis man tager blot ukritisk den første kodestump man bliver tilbudt på Stack Overflow, så beder man om problemer, MEN:

Jeg vil anbefale dig kraftigt at prøve blot at læse den diskussion der er derinde - og også dens meta forum.

Du vil i så fald opdage at Stack Overflow består af forholdsvis professionelle mennesker med års erfaring indenfor deres felt, så der bliver håndhævet et vist niveau af kvalitetskontrol på både spørgsmål og svar.

Derudover kan det ikke understreges tydeligt nok:

Spørgsmål og svar er bevidst holdt på et så simpelt niveau som overhovedet muligt, fordi koden kan vokse eksplosivt, hvis alle kvalificerede svar skal kunne håndtere alle tænkelige og utænkelige inputs, hvilket gør det svært at forstå budskabet.

  • 3
  • 0
Log ind eller Opret konto for at kommentere