Hallo Freyr,
Ich will doch stark hoffen, dass jemand, der vor hat einen Exchange aufzumachen, sich nicht über dieses Forum über IT-Sicherheit informiert. Das ist ein Thema für erfahrene Experten, ...
Nach langem hin- und herüberlegen komme ich immernoch nicht drauf, was du damit ausdrücken möchtest.
Angenommen hier gäbe es keinerlei Experten. Dann könntest du dir eine solche Aussage nicht erlauben, weil du in dem Fall auch kein Experte sein könntest.
Allerdings schreibst du eine solche Aussage, weshalb du ein Experte zu sein scheinst. Falls das stimmen sollte, wäre mindestens eine Person hier zugegen, welche sehr wohl kompetenten Rat geben könnte.
Also macht deine obige Aussage in keinem der betrachteten Fälle Sinn, dass solche Themen ausschließlich
woanders (wo auch immer das deiner Meinung nach sein sollte) besprochen werden sollten.
Oder was meinst du, wo die heutigen Experten alle herkommen? Die haben allesamt mal unwissend angefangen.
Falls du gemeint haben solltest:
"Hey, holt euch Security-Experten für den Aufbau!", dann sei mal kurz angemerkt, dass diese in der Regel enorm viel Geld kosten und dennoch für einen Außenstehenden die konkrete Kompetenz nicht nachprüfbar ist. Also kann man den Exchange auch gleich geschlossen halten und sich für das Geld ein schönes Häuschen in die Pampa stellen.
Zu deiner möglichen Kernaussage bezüglich des
vorher Informierens. Wenn ich mir die Ruinen von MtGox so ansehe und dann mal kurz anschaue, was die Ursache für den Bitstamp-Hack gewesen zu sein scheint: Da kommen mir ernsthafte Zweifel, ob sich überhaupt jemand
vorher bzgl. Sicherheit informiert zu haben scheint. Besonders bei Stamp habe ich den Eindruck gewonnen, dass da ein Webdesigner mit der gesamten Programmierung beauftragt wurde. Dabei sollte ich vielleicht mal erwähnen, dass Webdesigner in der Branche im Allgemeinen einen sehr schlechten Ruf bzgl.
Programmierung mit Sicherheitsanforderungen haben. Das liegt auch daran, weil jeder Mausschubser mit ein bisschen Editorkenntnissen sich in der Regel auch Webdesigner schimpfen darf. Da wird keinerlei tiefergehendes Verständnis der zugrundeliegenden Technologien vorausgesetzt. Mir sind in der Vergangenheit schon einige Exemplare dieser Spezies über den Weg gelaufen, welche schon mit Fragen über die RFCs 768, 791 und 793 hoffnungslos überfordert waren.
Weiterhin schrieb ich oben ausdrücklich:
Falls jemand vorhaben sollte, einen Exchange aufzumachen, möchte ich ein paar kleine Tipps loswerden (nicht vollständig):
Weshalb du dich da zu der Aussage:
... nichts was man mal eben mit ein paar Zeilen Text erklären kann.
aufgerufen fühlst, kann ich nicht nachvollziehen. Aus meiner Sicht hatte ich bereits deutlich gemacht, dass das alleine nicht ausreichend ist, um sowas vernünftig aufzuziehen. Aber es sind Tipps, die sich als Best-Practices in meinem Umfeld herauskristallisierten und dementsprechend wertvoll sein können.
Falls du ein Experte sein solltest, dann bringe bitte deine konkrete Kritik im Rahmen der von mir geschilderten Punkte ein. Damit können wir hier durch die Diskussion vielleicht eine Art Katalog zusammenstellen, von dem alle Seiten profitieren würden.
Andernfalls sehe ich auch an diesem Punkt keinerlei Mehrwert für irgendwen.
Gruss,
Bill