Entwickler: Dein Freund und Helfer Marc Ruef | 15.02.2010 Hier beginnt sie, meine kleine Geschichte. Ich fahre mit dem Zug in unsere Bundeshauptstadt. Muss dort bei einem Kunden einen Partner treffen, der sich für die Entwicklung einer internen Webapplikation verantwortlich zeichnet. Ich bin sehr müde. Da ich momentan sehr viel zu tun habe, bin ich eigentlich auch ein bisschen gereizt - vor allem wenn man mich warten lässt. Ich lass mir jedoch nichts anmerken, melde mich höflich beim Empfang an und werde flott ins Konferenzzimmer geführt. Dort wartet er schon. Der Entwickler der externen Firma. Man lässt uns alleine, denn schliesslich geht es hier um einen Code-Walkthrough: Der gute Mann soll mir innerhalb von etwa 30 Minuten die Architektur der Applikation näherbringen, so dass ich mich in dieser sofort zurechtfinden und mit der eigentlichen Source Code Analyse (http://www.scip.ch/?dienstleistungen.sourcecodeanalysis) beginnen kann. Schon als Wochen vorher der Termin vereinbart wurde, verspürte ich am Telefon eine latente Abneigung gegen meine Person oder meine Tätigkeit (ich weiss es nicht). Diese sollte sich an der besagten Sitzung fortsetzen. Als er mir die Anwendung erklärte, fragte er immerwieder nach, ob ich mich mit dieser und jener Technologie oder mit diesem und jenem Produkt auskennen würde. Ich war wirklich müde und hatte keine Lust darauf hier Hundetricks vorzuführen. Also schüttelte ich lediglich den Kopf und bat darum, mit der Erklärung fortzufahren. Vielleicht habe ich einmal zu oft den Kopf geschüttelt, denn der Entwickler behandelte mich zunehmends wie einen Idioten. Anfangs als er entnervt insistierte, dass ich mich gefälligst mit Struts (http://struts.apache.org/) auszukennen hätte, um eine fachgerechte Analyse des Quelltexts vorzunehmen. Später dann, als er mir bei der Erklärung der Netzwerkarchitektur erklärte: "Da steht ein Element, das nennt sich Reverse-Proxy, wissen sie..." Ich sass schon so manchem arroganten (http://www.computec.ch/news.php?item.285) und selbstgefälligen (http://www.computec.ch/news.php?item.227) Gesprächspartner gegenüber, so dass mich das nur wenig aus der Ruhe brachte. Viel eher gab ich mir nun nur noch weniger Mühe, meine Langeweile zu verbergen. Wenn ich denn mal eine Frage stellte, war er sofort darum bemüht diese zu korrigieren: So sei .htaccess auf einem IIS nicht möglich, Oracle lässt keine Zugriffseinschränkungen für Tabellen zu und SSL in einem internen Netzwerk sei idiotisch. "Na ja", hab ich gesagt. Mehr nicht. Ich war müde und es war mir echt zu dumm, abgesehen von der totlangweiligen Mini-Applikation auch noch über anderen Unsinn zu sprechen. Zum Schluss der Sitzung wurde mir der Source Code der Applikation auf meinen USB-Stick kopiert. "Der ist ja gar nicht verschlüsselt", schnellte mein neuer Freund hervor. Während ich den Stick und meinen Laptop in meine Mappe legte, fragte ich: "Wieso meinen Sie?" Ganz entrüstet warf er mir dann an den Kopf, dass er von einer vermeintlichen Sicherheitsfirma schon ein Mindestmass an Security erwarten würde. Ich sagte "Ja, ist gut", schüttelte ihm die Hand und verabschiedete mich. Einmal wäre ich tatsächlich fast auf eine Diskussion eingegangen. Und zwar dann, als er mit einem hämischen Grinsen behauptet hat, dass er extra einen Fehler in der Applikation eingebaut hätte um zu schauen, ob wir den finden würden. Im ZIP-File sind die Zeitstempel der letzten Änderungen der Originaldateien enthalten. Nur wenige Dateien wurden einen Tag vor dem Treffen geändert. Jetzt darf man drei mal raten, wie schwierig es war herauszufinden, welche absichtlichen Fehler das waren...