reneme
commented
3 years ago Danke für deinen Input und das Lob!
Ich denke allerdings, dass für die Erklärungen in diesem Dokument der Pseudocode leichter verständlich ist. Für manche beschriebene Algorithmen haben wir mehrere Implementierungen (iOS, Android, Web Apps, Backend) in unterschiedlichen Programmiersprachen. Noch dazu stehen die "echten" Implementierung natürlich auch immer im Kontext der jeweiligen App und lassen sich nicht so einfach losgelöst betrachten.
Trotzdem (oder gerade deshalb) hast du aber natürlich einen Punkt, dass die Beurteilung des Pseudocodes und der Beschreibungen nicht das volle Bild der tatsächlichen Implementierungen abbilden kann. Mit der baldigen Veröffentlichung der Quellcodes können wir -- wo es sinnvoll ist -- aber gerne versuchen direkt aus dem Dokument in die Code-Stellen zu verweisen.
Grüße aus Berlin
Moin,
erstmal Klasse Arbeit, viele Grafiken (die das lesen einfacher machen) und viel Pseudocode...
Aus dem Aspekt der Dokumentation (a, dass diese vorliegt; b, dass diese lesbar ist!) n1. Hier im Repo ist sie etwas verbuggt (ok es ist eines dieser PyBooks), wie es scheint, aber das macht nichts, man kann ja die schicke Doku auf der Webseite lesen (https://luca-app.de/securityconcept/intro/landing.html)
Ich sehe ein Problem mit dem Pseudocode, denn er erlaubt nur zu sehen wie es implementiert sein könnte. Er zeigt leider nicht, wie es unter der Haube, verdrahtet ist. Darum sehe ich darin eine größere Wahrscheinlichkeit, dass wir als "Leser" Implementierungsfehler übersehen könnten, die weitaus größere, gefährlichere Schwachstellen beinhalten könnten. Deswegen denke ich, dass ein paar Snippets aus dem echten Code angebracht sein könnten. Mal abgesehen vom Fakt, dass heute jedes Skid Reverse Engineering betreiben kann, wenn es die richtigen Tools findet.
Eine gewisse Reduzierung auf den Sec Code und den Ablauf in einer zusätzlichen Übersicht, könnte nicht nur Wartungskosten für die Doku reduzieren, sondern auch die (Ein-)Lesezeit. Gleichzeitig würde es aber das Verständnis entsprechend hochhalten, sodass Schwachstellen / Leaks gefunden werden können.
Kollegiale Grüße! :+1: :-)
Anmk.: Spät "Abends" in Fremdsprachen schreiben zählt mitunter nicht zu meinen Stärken :-)
English "Translation": Hello,
First of all, excellent work, a lot of Graphics (they maintain a good readability) and a lot of Pseudocode...
In the aspects of a Documentation (a it does exist; b it's readable) n1. The documentation is a bit buggy in this Repo (it's a pybook), but that doesn't disturb anyone as long we can read it on the website (see link above in GER Text)
I see a few problems with the Pseudocode... The code just shows how it could be implemented. It doesn't show the wiring under the hood. Therefore I see a big possibility that we overlook dangerous implementation flaws. So I think a few code snippets out of the implementation could be needed.
Besides the fact that every Skid can do Reverse Engineering these days with the right Tools in the hand
A Reduction of the documentation in a additional overview for only the most important facts could be needed too in my opinion. Since it reduces the time for reading and the maintenance costs of the Docs and keeps the understanding high enough to spot vulnerabilities and leaks.
Yours Sincerely :+1: :-),