Martins Blog

Die Lösung dafür ist eigentlich ganz einfach: man braucht nur genug Idioten, die zu blöd sind um zu merken, das sie mit ihrer Dummheit andere gefährden. Erstaunlicherweise zeigen sich dabei einige Parallelen zu politischen Themen, aber darauf will ich gar nicht hinaus. Es geht mir viel mehr um ein anderes Thema: um PHP. Genauer gesagt, um das dämlichste "Feature" von PHP überhaupt: register_globals. Für alle Nicht-PHP-Programmierer, hier noch mal in Kurzform, was das bewirkt.
Wenn man einen GET- oder POST-Request an ein PHP-Script schickt (was zB in einem Apache läuft), in welchem Bspw. als Parameter 'hallo=welt' übergeben wird, dann kann man in dem Script direkt auf die Variable $hallo zugreifen, welche dann den Wert 'welt' enthält. Werden nun allerdings in dem Script noch weitere Variablen verwendet, welche nicht explizit initialisiert werden (was bei den meisten PHP-Scripten der Fall ist, und IMO ein dreckiger Stil ist), dann kann ich diese Variable - sofern mir als Angreifer der Name bekannt ist - überschreiben.

Nun haben die PHP-Entwickler erkannt, das dies ein erhebliches Sicherheitsrisiko darstellt, und seit geraumer Zeit diese Option per default deaktiviert. Und was machen die Hoster: aktivieren es wieder, weil sich einige Kunden beschwert haben, das ihre Software auf einmal nicht mehr läuft. Und damit bringen sie alle anderen Kunden in Gefahr, bei denen die eingesetzte Software auch mit register_globals=off funktioniert, aber vielleicht bugs enthält, die erst dadurch ausgenutzt werden können das es on ist.

Da freut man sich doch richtig auf PHP6 - dort wird es dieses "Feature" nicht mehr geben, und die Hoster werden es deswegen auch nicht wieder aktivieren können. Allerdings sehe ich da ein anderes Problem kommen: es wird noch Jahrzehnte dauern bis die gängigen Hoster auf PHP6 umsteigen. Denn seit nunmehr über 2 (in Worten: zwei) Jahren ist die Version 5 von PHP raus. Und man muss immer noch mit der Lupe suchen, um einen Hoster zu finden, der dies standardmäßig anbietet! All-inkl z.B. bietet PHP5-Support nur auf explizite Nachfrage. Wenn sich nach zwei Jahren PHP5 noch immer nicht durchgesetzt hat - wie lange wird es wohl dauern, bis sich PHP6 durchsetzt (wenn es denn mal draußen ist)? Angesichts der Tatsache, das man dort kein register_globals mehr hat, mit Sicherheit doppelt so lange wie bei PHP5. Denn man muss es ja den ganzen Idioten recht machen, die immer noch auf Software setzen, die genau diese Funktionalität erfordert - ungeachtet der Tatsache, das diese Software mit absoluter Sicherheit so viele Sicherheitslücken enthält, das die Leute besser beraten wären ganz darauf zu verzichten.

...aber in der Politik, ist es ja genau so: dort fordern auch die größten Idioten eine "Antiterror-datei" und "Rundum-Überwachung" und "elektronische Fußfesseln für Arbeitslose und Sozialschmarotzer" und alles mit der Begründung, man habe ja nix zu verbergen! ...also ich habe was zu verbergen - und wenn es nur mein Schwanz ist.

...ich geh mich jetzt abreagieren.

Heute morgen viel mir mal wieder eine News auf heise.de auf, in der es mal wieder um die geplante GEZtapo-Gebühren für "internetfähige PCs" ging. Diese soll ab 1.1.2007 in Kraft treten und so langsam mehren sich die Stimmen die dagegen sind. Als der 8. Rundfunkstaatsvertrag 2004 beschlossen wurde, hat das keine Sau interessiert. Schon damals haben einige Aktivisten davor gewarnt, aber das wurde natürlich als Geschwätz abgetan.
Ich hatte mich damals auch an die EU-Kommission gewandt, in der Hoffnung, das sich etwas tun würde. Immerhin hatte die EU-Kommission damals schon ein Verfahren gegen die ARD angeleiert. Aber weit gefehlt. Die Antwort war, das dies ein nationales Problem wäre, und ich mich doch an die Regierung meines Landes wenden solle. ...tolle Wurst, ich soll mich an die gleichen Heinis wenden, die diesen Mist erst beschlossen haben.

Aber die gleichen Heinis setzten ja noch einen drauf: zuerst beschließt man, das alle PCs mit denen man theoretisch ins Internet könnte (egal ob man das auch tut) Gebührenpflichtig werden, und dann verpflichtet man alle Unternehmen sich so ein Gerät anzuschaffen, weil du Steuererklärung und Umsatzsteuervoranmeldung nur noch auf elektronischem Wege über das Internet zu erfolgen habe!
Ein Schelm wer böses dabei denkt.

Als nun dieses Jahr die Gebühr immer näher rückte, entschlossen sich auf einmal auch diverse Verbände und Unternehmen mal die Stimme zu erheben, und dagegen zu Protestieren. Im März wurde sogar eine Klage vor dem Verfassungsgericht dagegen eingereicht. Und jetzt auf einmal, ein paar Monate vor der Angst, kommen unsere Politiker auf die Idee, das sie da vielleicht doch einen Fehler gemacht haben könnten. Fast 2 Jahre lang, hat niemand auch nur einen Finger krum gemacht, und jetzt auf einmal fängt man an, klein bei zugeben - nachdem die Lobby der Wirtschaft, den Politikern "ihr Leid geklagt" hat. Das spricht doch irgendwie Bände über die Moral unserer Politiker ...sofern vorhanden.

Da erleichtert es irgendwie, das man demnächst, wenn wieder Wahlen sind, nicht mehr nur die Wahl hat zwischen Pest und Cholera. Sondern das man eine Partei wählen kann, die die Interessen der Bürger vertritt: http://piratenpartei.de/

Nachdem ich eine Woche lang im Urlaub war, hieß es letzte Woche wieder ranklotzen. Denn wie üblich gibt es mal wieder jede Menge Termindruck. Und nebenbei kommen dann die Kollegen vorbei und wollen die Probleme gelöst haben, die seit einer Woche warten, weil ich nicht da war. Ab und zu ist aber auch einer dabei, der anderes im Sinn hat. Zum Beispiel mir mitzuteilen, das er mein Blog nicht mehr lesen wird, weil ich über kleine, schreiende, nervende Kinder herziehe. Erstaunlich wie sich die Meinungen der Leute ändern, wenn man mal nicht über die Dinge herzieht wo eh schon alle dagegen sind.

Aber noch ein anderes Phänomen zeigt sich angesichts der erwähnten Termindrucks. Nämlich das die Qualität des Code abnimmt je dringender etwas fertig werden muss. Das Hauptargument ist dann "Das können wir später ändern, wenn wir wieder Zeit haben.". Nur wann hat man schon mal Zeit? Sobald absehbar ist, das sich ein Projekt der Fertigstellung nähert, sind die Kollegen aus dem Vertrieb und dem Produktmanagement drauf und dran für noch mehr Arbeit zu sorgen. Und das obwohl schon das vorherige Projekt nur mit erheblichen Einschnitten realisiert werden konnte, und der Kunde weiter darauf drängt, das auch die noch fehlenden Funktionalitäten umgesetzt werden.

Aber auch bei meinen privaten Projekten zeigen sich solche Effekte. Zum Beispiel hab ich mir jetzt mal wieder den Code eines Projekts angesehen, an dem ich vor ca. 3 Jahren zuletzt gearbeitet hatte. Mein erster Gedanke war "Wenn ich nicht wüsste, dass das mein Code ist, würde ich den Autor für einen Vollidioten halten." Man lernt halt mit der Zeit. Was dabei besonders heraus stach, war der Name einer Methode, die ich "inDaHouseYo" genannt hatte. Damals wusste ich halt ganz genau, was die Methode macht und mir fiel einfach kein passender beschreibender Name ein, der nicht die Länge einer Kurzgeschichte hat. Damals dachte ich mir halt "Wenn dir so schon kein passender Name einfällt, isses doch wurscht wie du die nennst." Tja, und heute sitze ich davor, und wünschte ich hätte lieber einen gescheiten Namen vergeben. Aber wenn alles schnell gehen muss, dann kommt es halt auch vor, das man darauf verzichtet sich Gedanken darüber zu machen, wie man seine Klassen und Methoden nennt.

Was meine privaten Projekte angeht, hab ich daraus gelernt. Schlimmer ist nur, das einem auf Arbeit teilweise wieder solche Dinge widerfahren, weil halt zum Stichtag X unbedingt ein vorzeigbares Produkt da sein muss, das man dem Kunden zumindest vorführen kann.

In diesem Sinne: lasst euch etwas mehr Zeit zum Durchdenken, bevor ihr schmutzigen Code schreibt.