Det Mary Ann mener er…

Chief Security Officer hos Oracle, Mary Ann Davidson, har et interessant sprog i sine blogindlæg: Farverigt, følelseslader, billedefuldt og måske en smule excentrisk. Derfor måtte det jo komme før eller siden at et af hendes blogindlæg kom gennem social media-møllen før det hurtigt at bliver slettet. Efterfølgende kan man side og fundere lidt over hvad hun egentlig mente?

Det kan ikke komme som en overraskelse for nogen at Oracle har et problem med at man reverse enginerer deres kode. Så at en ledende medarbejder siger »No, you really can't« burde ikke lede til andet end at folk trak lidt på skuldrene. Men hvorfor bekymrer en CSO sig for reverse engineering, hvis udviklerne internt bruger samme værktøjer til at finde de samme fejl? Hvad er det egentligt for et problem der får Mary Ann til at fare i blækhuset?

Jeg har selv oplevet at få en fejlmelding »Hej, jeg har fuzzet din kode, kan du ikke lige selv finde nålen i denne høstak af meningsløs data«. Det var simpelthen for tidsrøvende at gøre noget ved, ud over at jeg slet ikke havde nogle indikation for at fejlen var i vores del af koden. Kan man forestille sig at Oracle har et tilsvarende problem: Mange af fejlrapporter der lugter af reverse engineering er simplethen umulige at håndtere på grund af at de består af en høstak og en temmelig stor risiko for falske positiver?

Det korrekte svar på den slags fejlrapporter burde selvfølgelig være et høfligt "Tak, men du spilder både din og vores tid".

Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere