Mittwoch, 29. Juni 2011

Kritische Testfälle im Softwaretest - Beispiel Login

Immer wieder liest man von Fällen, dass der E-Mail Zugang oder auch andere Login-Mechanismen nicht korrekt funktionieren. Dies sind extrem kritische Fälle. Wenn eine Übersicht oder eine Auswertung nicht korrekt angezeigt wird, so ist das für den Anwender sehr unschön (manchmal auch kritisch), aber der Zugang zu einem Cloud-Dienst ist ein sehr wichtiger Testfall. Nachfolgend ein paar Beispiele, in denen die Softwaretests nicht ausreichend waren:
  1. Dropbox (Cloud-Dienst zur Ablage von Dateien/Dokumenten) akzeptierte vier Stunden lang beliebige PasswörterHeise Online Artikel (21.06.2011)
  2. Amazon erlaubt das Login bei älteren Accounts mit fehlerhaften Passworten
    Blog-Artikel auf Netzgezwitscher (27.01.2011)
  3. Facebook erlaubt die Veränderung der Passworte von Hotmail-Usern
    Blog-Artikel auf Datenschutzberatung.org (21.04.2011)
  4. Im Fantasy-MMO Rift gab es eine Sicherheitslücke im Login
    Blog-Artikel auf buffed.de (Spieleportal)
Allen diesen Fällen ist gemeinsam, dass dies nicht in der ersten Version der Software aufgetreten ist. In diesem Fall waren die Tests wohl ausreichend. Immer sind die Fehler aufgetreten, nachdem Änderungen oder Erweiterungen an der Software durchgeführt wurden. Das lässt folgende Rückschlüsse zu:
  1. Kein ausreichendes Testfallmanagement
    Es müsste klar sein, welche Testfälle nach Änderung der Software auszuführend sind
  2. Keine Traceability
    Durch die Organisation der Anforderungen an die Software, müsste der Bezug zwischen Anforderung und den auszuführenden Testfällen vorhanden sein.
  3. Kein risikobasiertes Testen
    Wenn bewertet wird, welche Tests nach Änderung durchzuführen sind, komme ich wegen des hohen Risikos des Login-Zugangs darauf, dort Tests durchzuführen
Dies zeigt, dass Schwächen im Testmanagement vorhanden sind. Solch kritische Probleme führen auch dazu, dass die Kunden überdenken, ob sie diesen Anbietern weiterhin ihr Vertrauen schenken. Ob man unternehmenskritische Daten bei so einem Dienst ablegt - wohl eher nicht. Und ob andere aus diesen Fällen lernen... Ich bin gespannt auf den nächsten Fall...

Keine Kommentare:

Kommentar veröffentlichen