Forskere: Stack Overflow-svar fyldt med hullet Java-kode

Der kan være grund til varsomhed i forhold til kode, der handler om Java og sikkerhed, på Stack Overflow.

Næste gang du mere eller mindre copy/paster et eksempel fra kodeforummet Stack Overflow, så kan det måske være en god idé at granske koden en ekstra gang. I hvert fald hvis det handler om sikkerhed og Java.

Det skriver forskere fra Virginia Tech i en rapport, oplyser The Register, der har set på rapporten.

Forskerne peger på, at mange udviklere ikke forstår sikkerhed i tilstrækkelig grad til at implementere det godt nok. Og i den forbindelse mener de, at overkomplicerede API'er, Spring-sikkerhedsframeworket til Java og andre biblioteker fører til frustrationer og fejl.

Forskerne har gennemtrawlet 497 kodesvar fra Stack Overflow i forhold til Java og sikkerhed. Her var der flere sikkerhedsproblemer forbundet med svarene.

Blandt andet var der accepterede svar, der anbefaler MD5 og SHA-1 som krypto-algoritmer. Som flere læsere vil vide, er det en dårlig idé.

Der var også accepterede Stack Overflow-svar, der anbefaler udviklere at stole på alle SSL/TLS-certifikater for at komme fejl til livs i forbindelse med verifikation af certifikater.

Spring

Hvad Spring-frameworket angår, så var der Stack Overflow-råd, der i forbindelse med implementering af autentifikation i Spring anbefalede at slå Cross-Site Request Forgery-checks fra.

I det hele taget har forskerne ikke ret meget tilovers for Spring, bemærker The Register.

55 procent af de Java-sikkerhedssvar, forskerne har set på, var relateret til Spring, som forskerne mener er unødigt kompliceret og dårligt dokumenteret.

»We provided substantial empirical evidences showing that APIs in Spring security (designed for enterprise security applications) are overly complicated and poorly documented, and error reports from runtime systems cause confusion,« står der i forskernes rapport. (PDF)

Og så peger forskerne også på et mere platformsorienteret problem i relation til Stack Overflow. Et svar fra en person med en høj omdømme-score (eng. reputation score) har en tendens til at blive godkendt, selvom det er forkert, på bekostning af mere korrekte svar fra personer med en lavere omdømme-score.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Benjamin Balder

Et dårligt råd sendt i en privat mail eller udvekslet fra en kollega dukker ikke op i et offentligt forum, hvor det kan down-votes eller hvor man kan kommentere om manglerne.

På SO er der ofte accepterede svar, der er dårligere end efterfølgende.

Se alle de mange diskussioner om emnet her:

https://meta.stackoverflow.com/questions/326095/please-unpin-the-accepte...
https://meta.stackoverflow.com/questions/283456/order-highest-upvoted-an...

  • 2
  • 0
Kjeld Flarup Christensen

Et svar fra en person med en høj omdømme-score (eng. reputation score) har en tendens til at blive godkendt, selvom det er forkert, på bekostning af mere korrekte svar fra personer med en lavere omdømme-score.

På SO er der ofte accepterede svar, der er dårligere end efterfølgende.


Det kan måske være den måde Stack Overflow bruges på.
Jeg vil gætte på at der er nogen som er meget hurtige på tasterne til at give svar. Dermed får det også mange votes hvis svaret bare er lidt brugbart.
Når der så kommer et bedre svar, så kommer det til at ligge længere nede, og nye personer som søger svar på spørgsmålet når kun at læse det dårlige svar - og giver det en vote op.

  • 0
  • 0
Log ind eller Opret konto for at kommentere