16:28
Tja, Markus Mengs demonstriert dann mal eben eine Code Injection Lücke in Luca und die Welt diskutiert ernsthaft darüber, ob das nun ein Fehler in Excel oder in Luca ist. Die banale Antwort lautet: sowohl als auch. Das sind beides Schrottprodukte, die sich hier gegenseitig ergänzen wie Psychopath und Kettensäge.
Das Problem auf Luca Seite ist einfach, dass sie aufgrund ihrer Pseudoverschlüsselung (Die Daten sind zwar korrekt verschlüsselt, culture4life hat aber Zugriff auf die Schlüssel) nicht wissen, was in ihrer Datenbank drinsteht und beim CSV Export streng genommen die Daten nicht angucken dürfen. Zumindest nicht solange uns Smudo ins Gesicht lügen will, dass nur die Gesundheitsämter entschlüsseln können (was natürlich nicht stimmt, denn das Gesundheitsamt Frontend ist eine Webapp und läuft auf den Servern von culture4life). Das ist einfach ein konzeptioneller Fehler im Systemdesign, der darauf beruht, dass man sich mit techn. Taschenspielertricks versucht hat aus der rechtlichen Verantwortung zu stehlen.
Zur Microsoft Seite sag ich an der Stelle mal nix. Das Problem das man da in alle Datenformate an allen Ecken und Enden ausführbaren Code einbetten kann ist seit Jahren bekannt.
Der Skandal hier ist, das die Sicherheitslücke prinzipiell bereits seit Wochen bekannt war, Sicherheitslücken von neXenio aber grundsätzlich als “harmlos” abgetan werden, bis man ihre Gefährlichkeit medienwirksam demonstriert und selbst dann wird noch versucht, die Schuld auf den Anwender abzuwälzen. Die Firma versteht Sicherheitsprobleme eigentlich nur als Marketingprobleme und ist damit völlig unqualifiziert, in diesem Bereich Produkte anzubieten.