Security Professionals - ipfw add deny all from eindgebruikers to any

[Verwijderd]

22-10-2013, 10:48 door [Account Verwijderd], 20 reacties
Laatst bijgewerkt: 23-10-2013, 12:10
[Verwijderd]
Reacties (20)
22-10-2013, 12:32 door Anoniem
Dit soort initiatieven zijn altijd goed.

Wanneer jullie willen dat mensen jullie systeem gaan reviewen is het alleen publiceren van je source code met korte beschrijving niet voldoende. Een duidelijke beschrijving van de gebruikte protocollen en algoritmes zijn nodig, bijv minimale sleutel grootte, setup-protocol voor onderlinge communicatie, vervolg communicatie en op welke bibliotheken/platformen vertrouw je. Als voorbeeld verwijs ik naar https://otr.cypherpunks.ca/Protocol-v3-4.0.0.html.

Documentatie maken is niet leuk, maar het is wel noodzakelijk, al is het maar voor jezelf om alles netjes op een rijtje te hebben.

grtz,
Tomahawk
22-10-2013, 13:47 door Anoniem
Leuk initiatief, en je moet ergens beginnen. Maar vertel eens, wat weten jullie van cryptografie?

Ook als je "alleen maar" andermans cryptografische programmabibliotheken gebruikt ontkom je als ontwikkelaar niet aan de noodzaak om toch redelijk wat basiskennis in huis te hebben. Al was het alleen maar om te weten hoe anderen op de bek gegaan zijn en hoe dat te voorkomen. Want een lek zit in een klein hoekje maar kan grote gevolgen hebben.

Sterker, een introductie cryptografie (zoals http://crypto-class.org, een MOOC van coursera) zit vol met zulke voorbeelden en is daarom verplichte kost voor iedereen die met de ontwikkeling van zoiets wil helpen, eigenlijk zelfs ook als niet-ontwikkelaar.

En zoiets is zeg maar nog maar helemaal het eerste begin. Waarmee ik niet wil zeggen dat het te moeilijk is om te doen. Maar wel dat het de moeite waard is om serieus in de materie te duiken, want als je dat niet doet dan is de kans veel groter dat je spectaculair op de bek gaat, en dan is ineens het vertrouwen van je gebruikers weg. En terecht, want ze vertrouwen er toch maar op dat jullie leveren wat jullie beloven: Beschermde communicatie.
22-10-2013, 13:49 door Anoniem
Dit ding is in php geschreven? De tekenen zijn niet goed.
22-10-2013, 14:13 door Anoniem
Erg leuk, echter als jullie voor security gaan. Waarom is de download dan niet via https te downloaden ?

Een goeie middel on the man aanval en je download bevat een backdoor.
22-10-2013, 14:50 door [Account Verwijderd] - Bijgewerkt: 22-10-2013, 15:16
[Verwijderd]
22-10-2013, 14:55 door [Account Verwijderd] - Bijgewerkt: 22-10-2013, 15:10
[Verwijderd]
22-10-2013, 15:33 door [Account Verwijderd] - Bijgewerkt: 22-10-2013, 15:35
[Verwijderd]
22-10-2013, 16:54 door Anoniem
Door Viognier:
Door Anoniem: Dit ding is in php geschreven? De tekenen zijn niet goed.
Bij deze het verzoek om niet wederom te verzanden in een onzinnige programmeertaal flamewar.
Jij wil feedback. Jij krijgt feedback. Of jij dat nou leuk vindt of niet. In context is dit een veeg teken.

Preciezer: Wat je eerder liet zien getuigt niet van zelfs maar de bereidheid verder te kijken dan je comfortzone, waar je al een tiental jaar in zit en dus wellicht niet heel onbegrijpelijk. Al je tegenwerpingen waren van hetzelfde stramien: Anderen maken ook fouten dus zijn deze wel te vergeven danwel niet belangrijk. Maar applicaties waar crypto in noodzakelijk is, opereren in een veld dat niet aan vergeven doet. Daar moet je wel buiten je comfortzone durven gaan, goed nadenken over alles waar je op bouwt, en dat ook kunnen communiceren.

Ik pak deze er even bij:
Door Viognier:
Door Anoniem: Leuk initiatief, en je moet ergens beginnen. Maar vertel eens, wat weten jullie van cryptografie?
Naar mijn idee genoeg om deze applicatie te bouwen. En daarbij, we krijgen advies van een echte crypto-expert. Maar aan de andere kant, onze applicaties zijn/worden niet voor niets open source. Geef ons je feedback!
Jouw idee is leuk, maar vertel eens wat meer dan "vertrouw mij nou maar" --wat ik weloverwogen weiger te doen--, of "d'ene of d'andere expert zegt dat het goed is", of nog mooier, "doe even fijn zelf een security audit, dan weet je het ook".

Hoeveel van de hoeveel die er actief aan dit project werken hebben meer dan een universitair college cryptografie gevolgd? Hoeveel hebben er al eerder met crypto gewerkt? Doe eens wat voorbeelden van gevonden problemen, hoe ze gevonden zijn, en wat jullie er aan gedaan hebben?

Merk op dat in deze context de taalkeuze niet meer dan een indicatie is (dat staat er ook bij), maar in dit onvergevingsgezinde toepassingsveld kan zelfs het kleinste detail je opbreken. Het is zoiets als windows voor oorlogsschepen willen gebruiken. De gevolgen daarvan zijn bekend.

Jij moet dan ook kunnen laten zien dat jouw oplossing op solide overwegingen gestoeld is. Jij moet met een goeddoordacht verhaal komen. En dat doe je niet. Je kiest voor de makkelijke uitweg van niet nadenken en onwelgevallige opmerkingen niet willen horen, van serieuze vragen makkelijk willen afwimpelen. Dat zegt eigenlijk al genoeg. Hier vertrouw ik mijn gevoelige informatie niet aan toe.

Het maakt in dezen niet uit dat anderen vergelijkbaar naïeve dingen doen. Jij wil de wereld verbeteren. Doe het dan ook beter.
22-10-2013, 21:39 door [Account Verwijderd] - Bijgewerkt: 23-10-2013, 10:04
[Verwijderd]
23-10-2013, 01:37 door KwukDuck
Beetje jammer dat ze alsnog voor een client-server setup zijn gegaan, wachten op een serverless initiatief.
23-10-2013, 08:48 door [Account Verwijderd]
[Verwijderd]
23-10-2013, 14:24 door Spiff has left the building
En nu is Viogniers account inclusief al zijn/haar bijdragen verwijderd van Security.NL.
Erg jammer!
23-10-2013, 14:27 door Anoniem
Voor alle duidelijkheid: ik heb mijn account en daarmee alle bijdragen op Security.NL verwijderd omdat ik het kleutergezeur van sommigen meer dan zat ben. En helemaal omdat de redactie van Security.NL niets doet om discussies on-topic en op niveau te houden.

Ik plaats een link naar een geschreven stuk en krijg gezeur dat de gelinkte PDF een exploit kan bevatten. Ik start een discussie over risicoanalyse en krijg gezeur dat ik door het linken naar een .xls bestand mensen verplicht om Microsoft Excel te gebruiken. Ik geef aandacht aan een secure chat applicatie die ik ontwikkel en krijg gezeur over hoe slecht PHP wel niet is. Te vaak verzanden discussies hier in gezeur over niet relevante technische onnozelheden en fanboy-gezwam.

Daarom dus; dag discussie, dag account, dag Security.NL.
23-10-2013, 15:06 door Preddie
Door Anoniem: Voor alle duidelijkheid: ik heb mijn account en daarmee alle bijdragen op Security.NL verwijderd omdat ik het kleutergezeur van sommigen meer dan zat ben. En helemaal omdat de redactie van Security.NL niets doet om discussies on-topic en op niveau te houden.

Ik plaats een link naar een geschreven stuk en krijg gezeur dat de gelinkte PDF een exploit kan bevatten. Ik start een discussie over risicoanalyse en krijg gezeur dat ik door het linken naar een .xls bestand mensen verplicht om Microsoft Excel te gebruiken. Ik geef aandacht aan een secure chat applicatie die ik ontwikkel en krijg gezeur over hoe slecht PHP wel niet is. Te vaak verzanden discussies hier in gezeur over niet relevante technische onnozelheden en fanboy-gezwam.

Daarom dus; dag discussie, dag account, dag Security.NL.

Ik geef je groot gelijk man...... in plaats van de site (onnodig) aan te passen had men beter hier op in kunnen zetten. Wat betreft de inhoud van je reactie ben ik het daar ook mee eens. Er zijn relatief weinig professionals aanwezig de mogelijkheid om anoniem discussie te vervuilen draagt ook niet echt bij aan de kwaliteit.

Men vergeet vaak de essentie. Als jij een kader opgeeft wanneer je advies vraagt gaat men je kader bekritiseren in plaats van een oplossing te zoeken binnen het kader, bijvoorbeeld binnen het kader PHP.
Men weet als snel en makkelijk aan te geven dat "iets" niet goed is maar men komt zelf nooit met een goeie alternatieve oplossing.

Laten we voorop stellen dat ik genoten heb van je bijdrage en al die keren wat we met respect een discussie met elkaar konden voeren.
23-10-2013, 15:10 door Spiff has left the building
Ik kan me je besluit best voorstellen, voorheen-Viognier.
Meerdere eerdere gebruikers zijn je al voorgegaan, misschien om vergelijkbare redenen.
Niettemin vind ik je vertrek een verlies.
Het ga je goed.
23-10-2013, 20:22 door [Account Verwijderd] - Bijgewerkt: 23-10-2013, 21:15
[Verwijderd]
24-10-2013, 09:13 door Preddie
Door Krakatau:
Door Anoniem: Voor alle duidelijkheid: ik heb mijn account en daarmee alle bijdragen op Security.NL verwijderd omdat ik het kleutergezeur van sommigen meer dan zat ben. En helemaal omdat de redactie van Security.NL niets doet om discussies on-topic en op niveau te houden.

Ik plaats een link naar een geschreven stuk en krijg gezeur dat de gelinkte PDF een exploit kan bevatten. Ik start een discussie over risicoanalyse en krijg gezeur dat ik door het linken naar een .xls bestand mensen verplicht om Microsoft Excel te gebruiken. Ik geef aandacht aan een secure chat applicatie die ik ontwikkel en krijg gezeur over hoe slecht PHP wel niet is. Te vaak verzanden discussies hier in gezeur over niet relevante technische onnozelheden en fanboy-gezwam.

Je bedoelt dat 'gezeur' over hoe slecht PHP wel niet is als reactie op SPAM over een secure chat applicatie? Wat verwacht je nou als je secure en PHP in één zin gebruikt.

Verder schrijf je zelf op de site van die secure chat applicatie:

Site van die secure chat applicatie:
A new version of the demo command line client has been released as well. This one supports the different-key-for-every-message feature as described above. Please note that this is a demo client, which has been written in PHP. Because of PHP's limited processing power (compared to C), the Diffie-Hellman library is not very safe.

Q.E.D.

Bedankt voor het voorbeeld, dit zijn precies de reactie waar we het over hebben. Hij vraagt een oplossing in het kader PHP en in plaats van naar een oplossing te praten ga je PHP bekritiseren.... je mist de essentie van zijn vraag !
24-10-2013, 10:07 door B0xerz - Bijgewerkt: 24-10-2013, 11:54
Door Predjuh:
Door Krakatau:
Door Anoniem: Voor alle duidelijkheid: ik heb mijn account en daarmee alle bijdragen op Security.NL verwijderd omdat ik het kleutergezeur van sommigen meer dan zat ben. En helemaal omdat de redactie van Security.NL niets doet om discussies on-topic en op niveau te houden.

Ik plaats een link naar een geschreven stuk en krijg gezeur dat de gelinkte PDF een exploit kan bevatten. Ik start een discussie over risicoanalyse en krijg gezeur dat ik door het linken naar een .xls bestand mensen verplicht om Microsoft Excel te gebruiken. Ik geef aandacht aan een secure chat applicatie die ik ontwikkel en krijg gezeur over hoe slecht PHP wel niet is. Te vaak verzanden discussies hier in gezeur over niet relevante technische onnozelheden en fanboy-gezwam.

Je bedoelt dat 'gezeur' over hoe slecht PHP wel niet is als reactie op SPAM over een secure chat applicatie? Wat verwacht je nou als je secure en PHP in één zin gebruikt.

Verder schrijf je zelf op de site van die secure chat applicatie:

Site van die secure chat applicatie:
A new version of the demo command line client has been released as well. This one supports the different-key-for-every-message feature as described above. Please note that this is a demo client, which has been written in PHP. Because of PHP's limited processing power (compared to C), the Diffie-Hellman library is not very safe.

Q.E.D.

Bedankt voor het voorbeeld, dit zijn precies de reactie waar we het over hebben. Hij vraagt een oplossing in het kader PHP en in plaats van naar een oplossing te praten ga je PHP bekritiseren.... je mist de essentie van zijn vraag !

Inderdaad, ik geef Predjuh hierin gelijk.
Ik snap ook goed waarom Viognier zijn account verwijderd heeft.

Overigens beschouw ik zijn post niet als spam, daar het gratis en open-source is en hij er dus niet winst mee gaat maken.
Men zou hier dergelijke dingen juist moeten kunnen posten omdat dit forum en deze community gerelateerd zijn aan security en privacy waar ook anderen weer (gratis!) baat bij hebben. Het is triest dat er een aantal zijn die m.i. uit de hoogte doen met niet-onderbouwde kritiek waar geen hond wat aan heeft. Ik denk dan ook dat deze mensen gewoon beter niet kunnen reageren als ze verder niet suggesties hebben of een relevante bijdrage kunnen leveren. Het verpest het voor de anderen die wellicht wel geinteresseerd zijn.

Persoonlijk vind ik ook het aanhalen van kreten als "hebben jullie uberhaupt wel een universitaire achtergrond in cryptografie" nogal onzinnig. Ik ken zat jongens in de security wereld die geen universitaire of relevante opleiding hebben die het prima doen en verstand van zaken hebben.
Ik denk dat de essentie van dit verhaal is dat men elkaar moet respecteren en er van uit moet gaan dat mensen zoals de OP/TS met goede bedoelingen een topic starten.
Het heeft geen zin, voor wie dan ook om te gaan lopen zieken en "wie heeft de dikste" te spelen.

Just my $0.02...

Zoals Spiff al eerder zei, jammer dat dit (weer) zo is gegaan (dit is in het al eerder voorgekomen).

Viognier, het ga je goed en ik hoop dat je applicatie een mooie bijdrage zal zijn voor mensen die het nodig hebben.
Jammer dat je je account hebt opgeheven en dat het zo is gelopen, het is inderdaad een verlies.
24-10-2013, 14:46 door Anoniem
Door B0xerz:
Persoonlijk vind ik ook het aanhalen van kreten als "hebben jullie uberhaupt wel een universitaire achtergrond in cryptografie" nogal onzinnig. Ik ken zat jongens in de security wereld die geen universitaire of relevante opleiding hebben die het prima doen en verstand van zaken hebben.
Merk op dat dit in reactie was op een vraag wat'ie zoal over zijn cryptokennis kon vertellen, en hij kwam niet verder dan dat hij vond dat zijn kennis wel voldoende was -- dat is een "vertrouw mij nou maar" waar verder niemand wat aan heeft, en toen volgde er een preciezere vraag om door dat muurtje van vaagheid heen te breken.

Er zijn best vele situaties waar het niet hebben van een universitaire opleiding geen gebrek is, ook binnen de ICT, maar dat wil niet zeggen dat je best mag vragen naar wat het kennisniveau dan wel is. Zeker gezien het doel van deze toepassing.

Kijk naar "mega" met hun hyperhippe versleutelde bestandshosting waar vervolgens met een simpele cross-site scriptingaanval je geheime sleutel te ontfutselen is--en dat was meen ik zelfs al de tweede ronde. Ze hadden veel exposure en dat levert vele ogen op. Die ga je met zo'n kleine poel als hier niet voldoende krijgen.

Je kan nou wel roepen dat je dit soort vragen onzinnig vindt, maar ik vind vooral de antwoorden ver beneden de maat, en dan met name te afwimpelig. Crypto is gewoon behoorlijk lastig om goed te doen en ik zit niet te wachten op weer een paar rondes met grote gaten in software, wellicht wat sappige schandalen over "perongeluk" op straat liggende informatie, die met een beetje vooruitdenken makkelijk af te vangen waren geweest.

Maar blijkbaar is dat te moeilijk en hij loopt stampvoetend weg.

Kan er niet mee zitten, want met goede bedoelingen alleen loop je grote kans iets neer te zetten wat achteraf niet veilig blijkt te zijn geweest, terwijl gebruikers dachten dat ze veilige software aan het gebruiken waren. En denken dat je veilig bent terwijl je het niet bent is erger dan weten dat je het niet bent. Met andere woorden, leuk geprobeerd maar uiteindelijk blijken ook deze goede bedoelingen vooral plaveisel voor de weg naar de hel.

Beter dat nu te weten, dan later.
26-10-2013, 19:11 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.