Nieuws

"Firefox root CA toont probleem opensource software"

donderdag 8 april 2010, 12:38 door Redactie, 17 reacties

Alle heisa rondom het onbekende Root CA in Firefox, toont volgens Fortify Software het probleem van opensource software aan. "Bij alle softwareontwikkeling is er een afweging tussen gemak en het nemen van de juiste beveiligingsmaatregelen, maar het is in dit soort situaties zoals met Firefox, dat onderstreept dat opensource software over het algemeen meer problemen heeft dan commerciële software."

Volgens het bedrijf moet opensource software op beveiligingsproblemen worden getest, en gepatcht, voordat het binnen een zakelijke omgeving te gebruiken is. Fortify Software geeft dan ook licht de voorkeur aan Internet Explorer, hoewel het erkent dat deze browser ook problemen heeft. Aan de andere kant heeft opensource software ook voordelen. "Door goed de veiligheid te controleren, kan een grote onderneming nog steeds opensource gebruiken en tegelijkertijd geld besparen", zegt de Europese directeur Richard Kirk.

Het probleem met het onbekende Root CA in Mozilla's browser, bleek uiteindelijk door een miscommunicatie te zijn veroorzaakt.

Eerste virusscanner voor Apple iPad

10% PC's kwetsbaar voor Conficker worm

Reacties (17)

08-04-2010, 12:58 door [Account Verwijderd]

[Verwijderd]

08-04-2010, 13:07 door Anoniem

Wat een onzin.. Overigens zit de fout bij RSA en niet bij Mozilla.

08-04-2010, 13:09 door Anoniem

De kop van het artikel klopt niet, want het bleek uiteindelijk door een miscommunicatie te zijn veroorzaakt
en niet door het feit dat het opensource is.

Moet closed-source software dan niet op beveiligingsproblemen worden getest, en gepatcht, voordat het binnen een zakelijke omgeving te gebruiken is ???

08-04-2010, 13:19 door Anoniem

Zelden zo'n bull-shit gehoord. Nog een keer voor de droefsnoetjes:
Absence of evidence is not evidence of absence.
Dat is het probleem van closed-source software; je kunt niet controleren of het product wel echt doet wat er op de doos staat (denk aan backdoors e.d.) én je kunt überhaupt geen audit doen zoals ze hierboven wel adviseren te doen bij Firefox...

08-04-2010, 13:39 door Anoniem

Fortify heeft net zeggen-en-schrijven 500 stuks geuploadde stukjes opensource gescanned op vulns. Niet echt een organisatie waar je iets van moet aan trekken. Bovendien is het juist de controle die het probleem met het lakse RSA aan het licht bracht.
Het bedrijf is opgezet door mensen die ook Al Gore's 'CO2 campagne' sponsorden terwijl ze er zelf beter van werden.

08-04-2010, 13:59 door Anoniem

Onzin; hetzelfde certificaten zitten ook in closed source applicaties. Bijvoorbeeld in de keychain van Mac OS X zit het certificaat ook. Mijn voorstel is om een ander systeem te verzinnen voor de certificaten die standaard worden vertrouwd in een webbrowser of besturingssysteem. Bijv. wel zo'n verzameling CA certificaten meeleveren die een software leverancier vertrouwd, maar dat je als gebruiker eerst nog zelf akkoord moet geven wanneer zo'n CA certificaat gebruikt wordt voor de eerste keer. Ook het controleren of een certificaat voor een bepaald domein altijd bij hetzelfde CA/Land afkomstig is maakt het een stuk veiliger (http://files.cloudprivacy.net/ssl-mitm.pdf).

08-04-2010, 14:08 door Anoniem

Kunnen we ook een rating geven aan de artikelen zelf?

08-04-2010, 14:20 door SirDice

Drie keer raden wat voor producten Fortify verkoopt.

08-04-2010, 17:13 door [Account Verwijderd]

[Verwijderd]

08-04-2010, 17:46 door Anoniem

Sorry, maar dit heeft niets te maken met open source, maar met het failliet van X.509. De reden van Dan tijdens 26C3 waren wel grappig, maar waar.

08-04-2010, 17:53 door Anoniem

Door SirDice: Drie keer raden wat voor producten Fortify verkoopt.

Diploma's... ;)

08-04-2010, 18:23 door Anoniem

nee open source wordt vaker getest denk ik,dan closed source.
want voor closed source moet je betalen,en is het vaak een vast team wat een programma test, en wordt er maar met mondjes maat een beta verstuurd naar mensen die er interesse in hebben.
Dan kunnen alleen die mensen het testen.
Met open source is het programma zomaar wereldwijd beschikbaar,zodat iedereen zijn kritiek kan uiten en zelf fouten kan verbeteren als ze die tegen komen.
Neem maar een voorbeeld aan Linux of andere freeware programma's daar kan je ook makkelijker de auteur benaderen met sugesties.

08-04-2010, 19:59 door [Account Verwijderd]

[Verwijderd]

09-04-2010, 13:14 door sjonniev

Kop moet luiden> Firefox root CA toont probleem slordige certificate service providers.

09-04-2010, 19:28 door Anoniem

Door Anoniem: nee open source wordt vaker getest denk ik,dan closed source.
want voor closed source moet je betalen,en is het vaak een vast team wat een programma test, en wordt er maar met mondjes maat een beta verstuurd naar mensen die er interesse in hebben.
Dan kunnen alleen die mensen het testen.
Met open source is het programma zomaar wereldwijd beschikbaar,zodat iedereen zijn kritiek kan uiten en zelf fouten kan verbeteren als ze die tegen komen.
Neem maar een voorbeeld aan Linux of andere freeware programma's daar kan je ook makkelijker de auteur benaderen met sugesties.

Maar is een groot verschil tussen kunnen en doen. Op het moment dat je actief zorgt dat je iets checked dan is dat mijn inziens beter dan vertrouwen op een gemeenschap die iets zou kunnen checken en waarbij een ieder denkt dat iemand anders het wel gechecked heeft.

11-04-2010, 15:54 door Anoniem

Opmerkelijk genoeg wordt de root in kwestie wel in Apple’s keychain system als legitiem beschouwd

een niet onderhouden Root CA is er door opensource Firefox uitgegooid, terwijl closed source Apple dit niet heefd gedaan.

conclusie:

Alle heisa rondom het onbekende Root CA in Firefox, toont volgens mijn het probleem van closed source software aan. Bij alle softwareontwikkeling is er een afweging tussen gemak en het nemen van de juiste beveiligingsmaatregelen, maar het is in dit soort situaties zoals met Firefox, dat onderstreept dat populaire opensource software over het algemeen beter gecontroleerd wordt dan commerciële software.

Volgens het mij moet alle software op beveiligingsproblemen worden getest, en gepatcht, voordat het binnen een zakelijke omgeving te gebruiken is. Ik geef dan ook de voorkeur aan Firefox, daar het erkent dat deze browser, net als Internet Explorer ook problemen heeft, en hier actief naar handeld. Tevens heeft opensource software ook andere voordelen. "Doordat de veiligheid goed wordt gecontroleerd, kan een grote onderneming gewoon opensource gebruiken en tegelijkertijd geld besparen", zegt de Europese directeur Richard Kirk.

Het probleem met het onbekende Root CA in Mozilla's browser, bleek uiteindelijk door actieve controle door Mozilla te zijn gevonden.

13-04-2010, 14:00 door Anoniem

jerry springer

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer