image

Interview prijswinnaar veilig programmeren workshop

maandag 22 september 2008, 22:30 door Redactie, 1 reacties

Twee weken geleden organiseerden we een wedstrijd (uitslag) waarbij de winnaar een cursus veilig programmeren ter waarde van 2500 euro kon winnen. Niet alleen de opgave was lastig, ook de prijs zelf was een taaie klus bestaande uit vier dagen lang programmeren en onderwezen worden in het voorkomen van fouten en de hacker mindset. Wij vroegen winnaar Ronald hoe hij de cursus ervoer en of zijn programmeersels voortaan minder fouten bevatten.

"De reden om mee te doen was dat het vinden van beveiligingslekken een hobby van me is, maar ik heb er de laatste tijd weinig tijd voor, dus toen ik dit voorbij zag komen wilde ik wel een paar minuten vrij maken." Zeker nu hacking in bijna alle vormen strafbaar is, zijn dit soort puzzeltjes handig om fouten te vinden, zo gaat hij verder. Ronald kon al aardig veilig programmeren "anders had ik niet gewonnen", toch komt hij bij het programmeren genoeg valkuilen tegen. "Zeker met PHP zijn er genoeg gotchas en het is handig om al die punten nu eens te zien, anders ben je toch altijd bang dat je iets vergeet." Menig programmeur weet ongeveer waar het mis kan gaan, maar het is toch beter om te weten waar alles echt zit, zo merkt hij op.

Met name bij "file uploads" kan er veel misgaan en dat was een van de onderwerpen die bij de vierdaagse workshop aan bod kwam. "Ik had niet het vertrouwen dat ik het goed kon doen. We hebben er veel tijd aan besteed, juist omdat er zoveel mis kan gaan en nu vertrouw ik er wel op dat ik het zonder fouten in elkaar kan zetten." Tijdens de workshop werd vooral gewerkt met checklists, die als basis voor het veilig programmeren dienen. "Je moest echter zelf de fouten vinden, alle opdrachten waren heel nuttig, zeker omdat je dit soort situaties ook in de praktijk tegenkomt."

Een van de modules die werd gegeven was de 'hacker mindset'. "Dat gaat erom dat je niet doet wat je met een applicatie hoort te doen, maar wat je ermee kunt doen. Het is leuk om te kijken waar de mogelijkheden zitten en om te zien hoe fout het eigenlijk is."

De gebruikte checklists vond Ronald nuttig, toch ziet hij ze meer als best practices. "Het zijn dingen die je gewoon moet weten bij het doen van een project of als je gaat coden." Ook als geheugensteun zijn ze bruikbaar. "Het is handig als naslagwerk, zodat je kunt zien of je overal wel aan hebt gedacht, maar het grootste deel moet je toch wel vertrouwen op wat je hebt geleerd."

Reacties (1)
23-10-2008, 12:12 door tweaktubbie
Vroegah had je een error in line 10 en wist je waar het fout ging. Tegenwoordig zit alles verstopt, gecompileerd en loopt over allerlei middleware en netwerkdevices. Bij zoveel uitbesteding of extern programmeren weet je nooit tot op coderegels wat je binnenhaalt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.