Kan gebruiksvriendelijke software ook veilig zijn?
Software is vaak populair als het gebruiksvriendelijk is en de afgelopen jaren was dit een van de belangrijkste punten voor veel ontwikkelaars. Software mag dan gebruiksvriendelijker geworden zijn, hoe staat het met de veiligheid en kunnen deze twee punten met elkaar gecombineerd worden?
Een van de redenen dat besturingssystemen en applicaties gebruiksvriendelijker geworden zijn komt doordat ontwikkelaars procedures en herbruikbare objecten hebben gemaakt die al het moeilijke werk uit handen nemen. Vroeger moest je ook als ontwikkelaar veel code zelf schrijven, maar vandaag de dag heb je mooie interfaces en zijn miljoenen regels code al geschreven.
Het enige dat je moet doen is het raamwerk voor de applicatie maken en de ontwikkelomgeving en compiler voegen alle lastige onderdelen toe. Wie heeft deze code geschreven? en hoe weet je of deze code veilig is? je hebt geen idee en er is ook geen makkelijke manier om op deze vraag antwoord te geven, toch probeerde Darren Miller het in dit artikel
geheuegen gebruik. Slodig programmeren is hier de oorzaak van.
alleen als je de Microsoft Marketing gelooft, is het onmogelijk om
EN gebruikersvriendelijk EN goed te programeren.
AS
zijn?
Ik vind de titel erg dubbelzinnig.
Wanneer is iets gebruiksvriendelijk en wanneer is iets
veilig? En wanneer zijn deze termen verenigbaar?
Voor mij is veilige software juist
gebruiks-/gebruikersvriendelijk(er), omdat:
- er dan geen/minder updates nodig zijn;
- geen third-party beveiligingsapplicaties nodig zijn;
- minder risico, minder onderhoud, minder zorgen de
productiviteit vergroten;
- etc.
Moet een van bovenstaande maatregelen genomen worden dan is
het systeem (voor mezelf) niet meer te bestempelen als
gebruiksvriendelijk en al zeker niet veilig.
Gebruiksvriendelijke software is pas gebruiksvriendelijk als
het veilig is.
oplopen.
het veilig is?
Onveilige software lijkt me niet gebruikersvriendelijk.
Titel vindt ik verwarrend; is gebruiksvriendelijke software
dan niet veilig?
Het is natuurlijk erg generaliserend geformuleerd, maar het
gaat in de praktijk toch wel degelijk op. Zaken die je
direct 'werken' wanneer je ze inplugt, aanzet of installeert
zijn gebruiksvriendelijk want... ze werken direct. Dat ze
dan niet direct veilig te noemen zijn (zie wireless netwerk
opzetten) doet voor veel gebruikers niet ter zake.
aanmelden zonder wachtwoorden te hoeven onthouden, is
makkelijker (vriendelijker) voor de gebruiker. Maar ook
onveiliger. Dit geldt ook voor het draaien van allerlei
iensten/daemons/services, zoals upnp, remote logins enz.
Veiliger standaardinstellingen hoeven het gebruiksgemak niet
per se in de weg te staan.
De mate van gebruiksgemak hangt ook erg af van de
gebruikers-interface. Bind en internet explorer zijn beide
weinig gebruiksvriendelijk maar helaas ook onveilig.
Ik denk dat gemak en veiligheid in wezen haaks op elkaar
staan maar dat dat niet altijd zo is. Dus sja...
:)
oorzaak. OpenBSD is erg zorgvuldig geprogrammeerd en wordt
per regel code geaudit. Misschien moeten grote bedrijven in
plaats van winst in waardeloze dingen steken, hier maar
teams voor inhuren.
En hiernaast lijkt het me erg belangrijk om code door
betrouwbare third-party auditors te laten checken.
> Onveilige software lijkt me niet gebruikersvriendelijk.
Kan wel hoor. Veel exploits werken doordat er iets gedaan
wordt wat de programmeur niet verwacht en dat bij normale
tests niet naar boven komt. Denk maar aan jpeg exploits
waarbij zo'n bestand moedwillig wordt gemanipuleerd zodanig
dat het de vulnerability triggert. De jpeg verwerkende
software kan dan best heel gebruiksvriendelijk zijn bij
normaal gebruik.
Pas nadat zo'n gat is "ontdekt" en er zoveel exploits in
omloop komen dat het werken met die software een niet te
verwaarlozen risico vormt, kun je zeggen dat de
gebruiksvriendelijkheid is aangetast. Als mijn vermoeden
klopt dat echt veilige software een zeldzaamheid is, zou er
volgens jouw veronderstelling nauwelijks
gebruiksvriendelijke software zijn...
moedwillig wordt gemanipuleerd zodanig dat het de
vulnerability triggert.
invoer te checken en dit anders af te handelen wanneer deze
niet zo is zoals kan worden verwacht. Anders dan
opzettelijke manipulatie kunnen ook door transmissiefouten
bits anders zijn dan de bedoeling is. Met andere woorden kon
de programmeur dit verwachten.
Een crashend programma is dan niet gebruiksvriendelijk zoals
een melding dat het bestand corrupt is wel.
Bijvoorbeeld MSIE crasht in enige gevallen wanneer je strikt
volgens de standaarden werkt. Ook dit is hoogst
gebruiksonvriendelijk gedrag. Dat is wel iets wat een
ontwikkelaar niet op voorhand kan of mag verwachten.
een zeldzaamheid is, zou er volgens jouw veronderstelling
nauwelijks gebruiksvriendelijke software zijn...
bestaat software dat zowel relatief veilig is alsook
eenvoudig in het gebruik en daardoor gebruikersvriendelijk is.
Er bestaat ook software dat relatief eenvoudig in gebruik
maar onveilig is en dus niet gebruiksvriendelijk.
Van de week was er op het nieuws een item over het gebruik
van MSN door jongeren dat zij aan 'computersex' zouden doen
en blootstaan aan andere vervelende dingen. Dan mag zo'n
computerprogramma kennelijk eenvoudig in het gebruik zijn,
maar kindonvriendelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
