Nieuws
image

OpenSSL publiceert voor het eerst beveiligingsbeleid

dinsdag 9 september 2014, 11:29 door Redactie, 6 reacties

De ontwikkelaars van OpenSSL hebben voor het eerst hun beveiligingsbeleid gepubliceerd waarin staat hoe ze met beveiligingsproblemen omgaan. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.

In april van dit jaar werd de zeer ernstige Heartbleed-bug in OpenSSL ontdekt, waardoor aanvallers informatie uit het geheugen van webservers konden stelen, zoals wachtwoorden. "Recente lekken hebben de aandacht van de media gekregen en onderstreept hoeveel van de internetinfrastructuur op OpenSSL is gebaseerd", aldus de ontwikkelaars.

"We hebben nooit ons beleid gepubliceerd hoe we intern met beveiligingsproblemen omgaan. Dat proces is gebaseerd op ervaring en heeft zich door de jaren heen ontwikkeld." In het beveiligingsbeleid staat dat er een e-mailadres is voor het melden van beveiligingslekken. Zodra iemand een kwetsbaarheid meldt of de ontwikkelaars die zelf vinden, wordt eerst de ernst van het lek bepaald.

Samenwerking

Tijdens het onderzoek naar gevonden problemen werken de ontwikkelaars samen met individuen en organisaties die geen onderdeel van het ontwikkelteam zijn. "We doen dit omdat uit het verleden blijkt dat ze waarde toevoegen aan onze kennis van het probleem en de mogelijkheid om patches te testen", aldus de ontwikkelaars. Zodra er een update gereed is die beveiligingslekken verhelpt zal dit via de OpenSSL-announce mailinglist en de website worden aangekondigd.

Voor updates die ernstige problemen oplossen worden er meer details gegeven. Ontwikkelaars van besturingssystemen waar OpenSSL in wordt gebruikt worden van tevoren ingelicht, zodat ze hun packages kunnen klaarmaken.

Als laatste stellen de ontwikkelaars dat niet alle lekken direct aan hen worden gemeld. Sommige kwetsbaarheden zijn afkomstig van bedrijven die voor lekken betalen of via Computer Emergency Response Teams. "Deze tussenpersonen, of de onderzoekers zelf, kunnen een andere manier van melden volgen. Dat is hun goed recht en staat buiten de controle van het OpenSSL-team."

Reacties (6)
09-09-2014, 11:58 door Anoniem
OpenSSL, dat project neem ik echt niet serieus meer. Neem deze pagina nou: https://www.openssl.org/docs/. Hoezo STILL INCOMPLETE na al die jaren!?!? OpenSSL is de Windows XP van cryptoland. Oud en nodig aan vervanging toe.
09-09-2014, 13:25 door [Account Verwijderd]
[Verwijderd]
09-09-2014, 13:40 door rsterenb
Door Anoniem: OpenSSL, dat project neem ik echt niet serieus meer. Neem deze pagina nou: https://www.openssl.org/docs/. Hoezo STILL INCOMPLETE na al die jaren!?!? OpenSSL is de Windows XP van cryptoland. Oud en nodig aan vervanging toe.

Je hebt wel een grote waffel maar je voegt niets toe.
09-09-2014, 16:49 door Anoniem
Door Picasa3:Als je het dan zo goed weet, bouw dan zelf iets wat beter is dan openssl.
Niet nodig, is er al. https://polarssl.org/
09-09-2014, 16:58 door Anoniem
Door Picasa3:
Door Anoniem: OpenSSL, dat project neem ik echt niet serieus meer. Neem deze pagina nou: https://www.openssl.org/docs/. Hoezo STILL INCOMPLETE na al die jaren!?!? OpenSSL is de Windows XP van cryptoland. Oud en nodig aan vervanging toe.
Als je het dan zo goed weet, bouw dan zelf iets wat beter is dan openssl.

Nee, ik heb liever niet dat hij iets nieuws bouwt. Ik heb liever dat hij zijn tijd aanbiedt om https://www.openssl.org/docs/ compleet te maken. Als hij iets nieuws bouwt, Blijven er ook zaken incompleet. Waar dan weer anderen over gaan vallen.

Peter
10-09-2014, 13:06 door Anoniem
Door Anoniem:
Door Picasa3:Als je het dan zo goed weet, bouw dan zelf iets wat beter is dan openssl.
Niet nodig, is er al. https://polarssl.org/

waarom is het beter dan? leg dat eens goed uit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure