flashpixx

Das stimmt so nicht, denn durch den Bologna-Prozess stellt der Master auch eine fachliche Vertiefung dar. Ich denke eine (Produkt)Zertifizierung ist bei weitem nicht mit einem abgeschlossenen Studium zu vergleichen und ich denke wenn man nach einem Studium noch die Zertifizierung nachholt wird wohl das Lernen dafür deutlich leichter fallen.

Sorry, wenn ich das lese "proggen", dann sträuben sich mir als Informatiker alle Haare im Nacken. Ich empfehle Dir, dass Du erst einmal korrekt die Begriffe kennst. Schau Dir die Berufe an, überlege Dir was ein Studium Deinem Begriffs "Allrounder" am nächsten kommt. Im Normalfall ist die Grenze recht fließend, es liegt alleine an Dir, was Du mit Deinem Beruf anfänngst

Das hatte ich in dem anderen Antrag schon geschrieben, wenn genau das so sein soll, dann ist das Projekt ungeeignet als Abschlussprojekt. Es ist völlig unerheblich was ich darüber denke, aber Du widersprichst Dir in Deinem Antrag selbst, denn auf der einen Seite sagst Du "Zertifizierung wichtig" auf der anderen "Zertifizierung ist für das Projekt nicht relevant", daraus folgt "Zertifizierung obsolet". Also was willst Du nun Zertifizierung "ja" oder "nein"? Das ist völlig irrelevant, denn wenn Du Dich nicht für die Zertifizierung klar entscheiden kannst, dann spielt dies auch keine Rolle. An welchen objektiven (!) Kritierien kannst Du das messen? Ich werfe mal das Stichwort "Metrik" in den Raum, wie lautet Deine Metrik und wieso kannst Du das schon im Antrag bevor das Projekt beendet wurde. Was ist wenn das Projekt völlig scheitert, dann hättest Du Kosten gehabt, kein abgeschlossenes Projekt, d.h. Verlust. Du kannst mir nicht erzählen, dass das Projekt dann noch besser ist als die aktuelle Lösung. Was hat das Gesamtprojekt für eine Relevanz für Dich, wenn Du eben auch auf die Zertifizierung verzichten kannst, dann ist Dein Projekt völlig losgelöst von allem anderen. Ich zitiere Dich selbst: Merkst Du, wie widersprüchlich Deine Argumentation ist? Dann schreib es auch so. Allgemeine Anmerkung: Du redest Dich im Antrag um Kopf & Kragen und Du grenzt eben nicht klar das Projekt ab und genau das ist die Kritik der IHK. Du bist extrem unpräzise in Deinen Ausführungen und Du widersprichst Dir selbst. Wenn die Zertifizierung wichtig für Dein Projekt ist, dann gehört das in den Antrag klar formuliert rein, wenn nicht, dann lass es ganz weg (Stichwort ist es optional oder nicht). Schreibe kurze klare Sätze, die nicht viel Interpretationsspielraum lassen. Ansonsten zur Thematik, wenn Du den Auftrag hast ein Passwortmanagement zu suchen, dann reicht das nicht für ein Projekt, das wurde in Deinem letzten Antrag schon geschrieben. Was ist das Problem, wenn die Lösung heißt "Passwort Management"? Da ich die andere Diskussion kenne, weiss ich was Du willst, aber es ist völlig egal was Du willst oder was Du denkst zu wollen, sondern es zählt das, was in dem Antrag steht.

1 Thema = 1 Thread, Dein Antrag bezieht sich auf http://www.fachinformatiker.de/abschlussprojekte/157955-passwort-management-system-zu-duenn.html Du hast im Grunde aus dem alten Thread nichts an Informationen übernommen und die Antwort des PAs ist klar, denn letztendlich "installierst Du nur ein Tool" und das ist nicht ausreichend. Du befasst Dich in keiner Weise mit einer Problemstellung und daraus resultierend mit Deiner Arbeit. Zusätzlich ist vieles für mich im Antrag nicht wirklich von Bedeutung, denn es ist sprichwörtlich viel Füllstruktur dabei, die eben einen umfangreichen Antrag schafft, aber die Kernproblematik völlig oberflächlich behandelt. Ich empfehle Dir, schreibe in je 3 Stichworten einmal das IST- & SOLL-Konzept, die Problemstellung und die grobe Umsetzung auf und aufgrund dessen kannst Du dann auch direkt sehen, wo es Abgrenzungen zu anderen Themen- / Abteilungen gibt. Z.B. (ich drücke es mal hart aus) Schön Deine Entscheidung steht schon fest, wie kann das sein, Du hast nichts evaluiert? Also ist Dein Projekt nur eine einfache Installation, das kann auch ein Praktikant machen Was bringt Deinem Projekt, dass die Abteilung ISO 27001 zertifiziert ist? Das ist für mich im Grunde der Punkt, dass Du hier versuchst Deinem Projekt Tiefe zu geben, obwohl Du keine drin hast, denn ein Installationsprojekt kann man schnell abreißen. ja und? Da trägt jemand einfach die User mit entsprechenden Rollen ein und das wars dann? Oder gibt es evtl, wenn Du hier schon von einer Zertifizierung redest, ein Konzept, was eben aus Geschäftprozesssicht das Rollenkonzept stützt? Im Grunde auch wieder viele Worte mit wenig Inhalt. Ach ja, also ist die genannte Zertifizierung völlig unerheblich für das Projekt. Warum redest Du um den heißen Brei bzw. warum erzeugst Du hier sprichwörtlich Fülltext ohne Inhalt. Für mich ein Hilfeschrei, dass dieses Projekt "unbedingt und genauso wie Du es beschreibst umgesetzt werden muss", denn "was wird das denn wohl alles kosten, wenn Du Dein Projekt nicht so umsetzt". Was kostet es denn, wenn Dein Projekt scheitert? Was sind Pro und Contra-Argumente für das Projekt? Außerdem wie kannst Du von Konsequenzen reden, wenn überhaupt nicht klar ist, wie das Projekt durchgeführt wird? Entweder hast Du harte Fakten vorliegen, die Deine Argumente stützen oder es sind wieder nur leere Worte. Wie steht das in Zusammenhang zu Deinem Projekt bzw. was sind "Infrastrukturkomponenten" und warum müssen es virtuelle Maschinen sein", also ein physikalischer Server wäre also nicht zugelassen. Benutze die richtigen Fachbegriffe, so ist das für mich eher wieder nur Fülltext. Bringe den Antrag auf den Punkt mit klaren Grenzen. Es geht nicht darum, dass Du hier Prosa schreiben kannst, sondern es geht darum ein technisches Projekt anhand von klaren Definitionen im Geschäftskontext von anderen Projekten abzugrenzen und darzulegen, warum es notwendig ist das Projekt durchzuführen und wie sich dies auf den Gesamtgeschäftsprozess auswirkt (im Sinn von Umsatz).

Diese 8 Stunden solltest Du aufschlüsseln. Das klingt (mal bissig formuliert) nach: VM erstellen, OS installieren, Software installieren, Software einmal starten, läuft prima, das war's. Der Antrag an sich von Thematik ist in Ordnung, nur Du musst definitiv etwas konkreter werden.

Das ist im Grunde zutreffend, die Datenbank sollte Objektinformationen so generisch wie möglich speichern, allerdings kann man abstrakter Sicht eine Transformationsabbildung (Bijektion) zwischen Datenbank und Objekt definieren, die es ermöglicht ein Datenmodell in ein Objektmodell zu transformieren (vice versa).

Wenn man mal die kostenpflichten Angebote anschaut, dann sollte man dafür eine Lösung finden, denn im Businessumfeld sollte dies möglich sein, denn man ist ja nicht auf Opensource gebunden. Aber wie schon hier mehrfach gesagt, sprengt ein solches Projekt die 70h bei weitem. Ich sehe ein massives Problem auf fachlicher Seite, dass Du nicht weißt wie Bugzilla die Daten bereit stellt, alleine das Konzept und die Implementation eines Webservice sprengt den Umfang von 70h. Das Datenmodell + entsprechende Strukturen, um ein fehlerfreies Mergen der Daten zu erreichen ebenso. Im Grunde sehe ich bei diesem Antrag fachliche Probleme, die Du aktuell überhaupt nicht sinnvoll strukturieren kannst.

Also mal salopp gesagt, nur weil man die "Spaltenbreite" nicht anpassen kann, soll ein eigener Client entwickelt werden. Das Projekt erscheint mir bedenklich, weil ich die Synchronisation der Daten definitiv ein Problem wird, vor allem wenn ein Ticket online neuere Informationen enthält als z.B. das Offlinesyste, d.h. der Merge ist schwierig. Ich würde hier sagen, implementiere die Funktionalität in Bugzilla direkt und nutze ein System wie VPN damit sich darauf verbinden kann bzw. https. Die Entwicklung für einen Client sehe ich nicht, denn wenn man ein Webinterface hat, warum soll man eine eigene Anwendung haben? Außerdem ist bei einer Anwendung direkt die Fage, wie kommuniziert sie mit Bugzilla, hierzu würde man einen Webservice einsetzen und darüber verlierst Du kein Wort im Antrag, Du hast somit noch eine Kommunikationsschicht in der Anwendung

Ausbildung / Beruf hat nichts mit Studieninhalten zu tun, deshalb gibt es keine juristische Möglichkeit sich Berufs- bzw. Ausbildungszeiten als Studienleistungen anerkennen zu lassen. Es ist Sache der Hochschule, ob und in welchem Umfang sie es machen. Der Ansprechpartner ist der Studienfachberater. Es ist ein reiner Ermessensspielraum der Hochschule. Berufszeit wird häufig für Industriepraktika angerechnet.

Ich finde es auch chic. Mich würde dann später interessieren wie Du testest, ob die neue Konfiguration auch korrekt arbeitet und wie Du real das Netz migrierst

Dazu fällt mir nur ein: Die Mitte macht's. Wie wäre es, wenn Du mit einem Kurs anfängst und dann den anderen so bald als möglich drauf setzt?

Stichwort distcc

Ich halte das für 10 Werktage schon für zuviel, sofern Dein Praktikant kein Vorwissen hat. Alleine ein funktionsfähiges Netz mit korrekten IPs & Gateways zu installieren ist nicht so einfach, wenn man es noch nie gemacht hat. Postgres halte ich für einen Praktikanten definitiv für Overkill. Es soll ja nicht darum gehen, irgendwelche Programme zu installieren. Wie wäre es mit der Installation eines BSDs oder Gentoo, gerade bei Gentoo ist der Installationsprozess sehr gut dokumentiert und man sieht einmal aus welchen verschiedenen Teilen ein OS aufgebaut ist bzw. wozu ein Compiler/Linker da ist, denn bei Gentoo sieht man, wie man aus Quellcodes einmal ein komplettes OS baut. Natürlich solltest Du durchaus die Command-Line so beherrschen, dass Du bei Problemen auch helfen kannst, also "nur" vim reicht da sicherlich nicht so ganz aus.

Weil es im C++ Standard nicht standardisiert wurde, deshalb gibt man bei binären Daten dann Compiler & Linker mit an. Weil nicht Du es lesen sollst, sondern die Maschine und außerdem musst Du dann auch einen Standard definieren. Und der Funktionsname reicht nicht, Du brauchst die Signatur der Funktion. Ich gebe aber mal den Hinweis darauf, dass bei C dieses entsprechend definiert wurde, da C++ den kompletten C Sprachsyntax umfasst, kann man die Einsprungspunkte als C Signaturen definieren und intern weiterhin C++ nutzen.

EBook-Reader sind nicht zu empfehlen, denn sie können keine Formeln (LaTeX gerendet) darstellen. Ich rate definitiv zu einem Tablet, da Graphiken und Formeln korrekt dargestellt werden. Wichtig ist vor allem die Auflösung, denn gerade wissenschaftliche Publikationen haben meist eine recht kleine Schrift bzw. sind mehrspaltig

Ich werf mal das Stichwort "Proxy" in den Raum

Kein Problem. Ist schon vergessen. Mir ist durchaus die soziale Komponente bei solchen Projekten bewusst (never touch a running system). Ich halte das aber gerade im Business- / Sicherheitsumfeld für nicht akzeptable (1. Punkt). Weiterhin ist schon klar, dass man nicht einfach mal "schnell" alles ändern kann (2. Punkt), nur hier sollte eigentlich der Kaufmann durchkommen und es dem Kunden schmackhaft machen. Letztes erfordert aber, dass man zuerst die fachliche Ebene erkennt, bewertet und danach dann für den Kunden eine Lösung entwirft. Ich schließe nicht aus, dass man auch eine Hybridlösung machen kann, nur würde ich dazu raten, erst einmal die technischen Systeme zu evaluieren, dann zu schauen, wie man mit entsprechenden Mechanismen gesichert diese Systeme verwalten kann und danach nimmt man entsprechende Tools zur Hand. Der erste Antrag war kurz gefasst "nehmen wir nen Passwort-Safe, passt schon" und das ist definitiv nicht der richtige Ansatz, erst einmal breit an das Themenfeld heran gehen und dann evtl überlegen wie man es für den Kunden passend aufbereitet. Zusätzlich muss man aber immer im Hinterkopf haben, dass es um Sicherheit geht

Im privaten Umfeld ja, im Businessumfeld nein, denn es geht dabei um die Sicherheit von Unternehmsdaten und da sollte definitiv höhere Standards gegeben sein, als zuhause auf dem privaten Rechner (Stichwort Industriespionage). Das mag sein, spricht nicht gegen ein gesichertes System Bei Businesssysteme werden entsprechende Authentifizierungsmöglichkeiten geben, eben z.B. Zertifikate, SSH ... Wenn wir hier über die Verwaltung einer SOHO Routers reden, dann sieht das anders aus. Es geht um Deinen Antrag und wenn Du bei dem Antrag als Mitarbeiter einer Sicherheitsfirma mit Klartextpasswörtern hantierst (was Du machen kannst), dann wird aber sicher die Frage nach der fachlichen Komponente kommen, denn Klartextpasswörter sind nun mal nicht sicher. Du sollst Dir für eine Problemstellung eine fachliche und wirtschaftliche Lösung überlegen, die eben gewisse Anforderungen erfüllt, niemand sagt, dass das leicht ist. Wir haben Dir hier einige Ansätze genannt. Wie Goulasz schreibt, ist es letztendlich alleine Deine Entscheidung was Du machst, nur gehe davon aus, dass der PA nachfragen wird und im schlimmsten Fall, musst Du die Prüfung wiederholen. Du solltest bedenken, dass Du danach bewertet wirst, wie fachlich und wirtschaftlich Dein Problem gelöst wurde und wenn Du als Mitarbeiter eines Sicherheitsunternehmens mit unverschlüsselten Passwörtern arbeitest, dann ist das schon bedenklich, weil ich ja z.B. als Auftraggeber weiß, dass Ihr mein Passwort irgendwo im Klartext gespeichert habt und im Grunde keine Handhabe habe, was damit passiert. Mal anders gefragt: Würdest Du einem Schlüsseldienst Deinen Haustürschlüssel geben, nur weil es ein Schlüsseldienst ist?

Nein der SSH Key wird auf jeder Maschine auf der Du Dich einloggen willst einmal abgelegt bzw. man kann auch über einen zentralen Server, der z.B. die Homelaufwerke hostet, den Key auf alle Maschinen bekommen. Ein Schlüsselpaar kann für einen User / Server / LAN. Aber ich empfehle dazu, dass Du einmal die entsprechende Literatur dazu liest z.B. ein Einstieg wäre Secure Shell Ich finde nur, dass die Diskussion hier durchaus etwas seltsam ist, denn vgl Projektantrag bekomme ich überlste Bauchschmerzen, denn eine Firma, die "IT Sicherheit" bietet und nun hier in einem Abschlussprojekt verschiedene Sicherheitsaspekte durchkauen, scheint durchaus Probleme bezügl. Sicherheit zu haben.

Passwörter gehören nicht im Klartext gespeichert, denn dies bietet die Möglichkeit des Zugriffes. VPN kann man auch via Zertifikate authentifizieren so dass kein Passwort notwendig ist, gleiches gilt für einen SSH Key. Das Problem ist durch eine Änderung der Infrastruktur lösbar. Der Passwortmanager ist letztendlich nur ein Heftpflaster und löst das Problem nicht.

Nein, in diesem Fall würde ich SSH mit Key nutzen, ist jedenfalls bei uns im Rechenzrentrum das Standardverfahren + zentraler Authentifizierungsserver via LDAP. Administrative Tätigkeiten werden hier nur per SSH gemacht.

Das ist Schwachsinn, denn in diesem Fall nutzt man Single Sign-on damit existiert das Problem nicht. Ansonsten nutzt man Secure Shell - Wikipedia, the free encyclopedia mit Public-Key-Authentifizierung da ist noch nicht mal mehr ein Passwort notwendig Der User bekommt genau ein Passwort und das kann er selbst wählen, wenn es noch sicherer sein soll, dann gibt es Einmalpasswörter mit entsprechenden Geräten. Ein Passwort sollte sich der User merken können, alle anderen Authentifizierungen werden über Schlüssel oder eben Sigle-Sign-On gemacht, damit ist keine Passworteingabe mehr erforderlich. Das Passwort liegt weiter als Hash vor und ich kann relativ einfach bei kompromitierten Schlüssel diesen dann sperren. Wie schon gesagt, Dein Projekt hat fachliche Mängel. @SilentDemise: FTP sollte man sowieso nicht verwenden, sondern wohl eher SFTP und da kann ich dann mittels Key authentifzieren.

Noch einmal: Verschlüsselung != Hashing Ich zitiere aus Deinem Antrag: Wenn Du auf den aktuellen Stand (Klartextpasswörter) eine Verschlüsselung drauf ziehst, dann macht es das nicht besser und ich würde Dir in der Prüfung sagen, dass Deine Lösung das Problem nicht löst, sondern Du im Grunde am Problem vorbeigeplant hast, denn Du erkennst nicht die Schwachstelle Deines Projekts, die hier noch ein riesiges Sicherheistloch in die Software reißt. Die Lösung für das Problem heißt: Konzipier die Datenbank neu, so dass dort gehashte Passwörter stehen. Das ist aber als FISI nicht Dein Job, sondern es wäre der Job des FIAE. Sprichwörtlich kannst Du als FISI das Problem nicht lösen, also folgt daraus, dass Du Dir besser ein anderes Projekt suchst, um Deine Prüfung zu bestehen. Du kannst gerne Dein Projekt mit einem "Passwort-Manager" versuchen, aber ich würde an Deiner Stelle mich sehr sehr sehr sehr gute auf die mündl Prüfung vorbereiten, denn es könnte extrem schwer für Dich werden dein Projekt so dem PA darzustellen, dass Du hier ein fachliches gutes Konzept umgesetzt hast. Du riskierst in der aktuellen Form, dass Du ggf noch einmal wiederholen musst. Das was Du in Deinem Antrag steht, ist fachlich extrem bedenklich, warum willst Du so ein Projekt mit aller Gewalt machen? Mach es Dir doch einfacher und suche Dir ein Projekt, was fachlich und wirtschaftlicher auf soliden Beinen steht.

Die Änderung heißt: Nutze gehashte Passwörter und keine Vershclüsselung Nein Du klebst ein Heftpflaster drauf, denn das Problem sind die Klartextpasswörter in der Datenbank, das ist ein Designfehler der Datenbank bzw. der Anwendung und diesen muss man beseitigen. Wenn jemand mit dem Messer abgestochen wird, stellst Du ja auch keine Wand davor und sagt "ich seh es nicht, also ist es nicht da". s.o. Deine Anwendung wird "irgendwie" auf die Datenbank connecten, d.h. ich hole mir den Connectstring, nehme ein Tool wie Database Management Software Tools - DbVisualizer connecte mich mit dem Connectionstring direkt nativ auf die Datenbank mache ein "show tables" und gucke die tabellen mit "select * from table" durch und zack ich sehe wunderbar alle Klartextpasswörter. Und dann logge ich mich mit einem anderen User / Passwort ein, denn das kann ich ja einfach lesen, und mache irgendwas lustiges in den Daten und da ich ja ein anderer User bin, kann ich ggf die Daten dieses Users irgendwo abziehen und veröffentlichen. Sind das z.B. Geschäftsdaten, dann könnte das juristisch richtig Probleme bei Euch machen Du erkennst nicht das Problem, das Problem ist ein fehlerhaftes Design der Datenbank / Software und Du versuchst es mit einem Heftpflaster zu flicken. Passwörter - ich wiederhole mich - werden (!!) niemals (!!) verschlüsselt / im Klartext gespeichert, sondern immer als Hash mit einem Salt. Die Lösung, die Du machen musst, ändere die Software / Datenbank so, dass dort gehashte Passwörter stehen und eben nicht die Klartextpasswörter. Es ist völlig irrelevant, ob Du nun den Dump verschlüsselst, denn spätestens, wenn ich auf die Datenbank drauf komme, dann komme ich auch an die Passwörter und d.h. da sie dort im Klartext stehen, kann ich sie auch lesen. Wenn ich irgendwie an das Masterpasswort dran komme, dann hole ich mir einfach den Dump, entschlüssle ihn und habe auch die Passwörter aller Kunden im Klartext. Eine Verschlüsselung ist das falsche Werkzeug !! Der richtige Weg ist jedes Passwort mit einer Kryptologische Hashfunktion / Hashfunktion in der Datenbank zu speichern. Z.B. wird ja das Windows Login Passwort auch nicht im Klartext gespeichert, sondern eben als Hash. Da Dein Projekt eben genau diesen fatalen Fehler hat, machst Du es mit dem, was Du tust nicht besser und es bietet aus Sicht der Prüfer extrem viele Angriffspunkte Dir unangenehme Fragen zu stellen. Ich würde Dir z.B. so eine Frage stellen "Definieren Sie bitte einmal Hashing" oder "Erläutern Sie bitte den Unterschied zwischen Hashing, Salt & Verschlüsselung" und dann abschließend käme die Frage "Warum nutzen Sie kein Hashing, sondern eine Verschlüsselung, mit der es möglich ist, die Passwörter im Klartext abzufragen. Wie würden Sie die Qualität Ihrer Arbeit unter diesen Bedingungen bewerten". Sorry, ich verstehe aber echt nicht, was daran so schwierig zu verstehen ist !? Google doch einmal danach wie man Passwörter richtig speichert.

Noch einmal: Passwörter gehören nicht verschlüsselt, sondern sie sollten gehasht werden und zusätzlich mit einem Salt versehen werden. Eine Verschlüsselung ist umkehrbar, ein Hash nicht (Grundlage der Algebra) Egal was Du Dir hier als Projekt überlegst, in der Prüfung bietest Du mit dieser Thematik eine Steilvorlage, Dich sprichwörtlich fachlich zu zerlegen. Egal was Du hier machst, die Passwörter liegen unverschlüsselt in der Datenbank und jeder der das Masterpasswort kennt, kann sie lesen, aber selbst ein Administrator soll Passwörter nicht lesen können, allenfalls darf der Admin ein neues Passwort setzen. Bitte benutze einmal Google und suche danach wie oft in den letzten Jahren Firmen durch solche massiven Sicherheitslücken eine negative Presse erhalten haben, weil Passwörter ungehasht gespeichert wurden bzw. im Klartext abgelegt wurden. Es ist schon seit Jahren Standard Passwörter zu hashen. Das Argument "das Passwort ist nur einigen Mitarbeitern bekannt" ist nichts wert, denn wer sagt, dass das Passwort nicht nach außen gelangen kann. Und wenn die Anwendung nun auf die Datenbank connected, dann kann der User den Connectionstring abgreifen und macht einfach ein "select * from usertable" und schon sieht er von allen Benutzern die Passwörter im Klartext. Ich rate Dir, entsorge das Projekt, denn es hat massive fachliche Fehler.