Die Apple criminelen :^)

Vind het nog steeds lomp dat je uberhaupt de standaard browser niet kan aanpassen.. En waarschijnlijk gebruiken ze op de site iets 'speciaals' wat nu niet meer ondersteund wordt. Ben wel benieuwd wat het is.

Ik weet niet hoor... als een website breekt door alleen een beveilingsupdate van een browser, dan kan je ook stellen dat de website verkeerd gemaakt is. Zit er dan veiligheidstechnisch iets fout in de website?

Wat voor spannende dingen gebeuren er dat de basis HTML specificatie niet voldoet?

De standaarden voor het WWW worden bepaald en beheerd door het W3C (World Wide Web Consortium).
In dit geval zal of de website, of de browser zich niet volledig aan de standaard houden.

Hahahaha grapjas.

Vroegâh had je een punt gehad, toen van HTML4, want dat was inderdaad een standaard. Slechts ten dele een punt want als je die standaarden gaat lezen dan moet je onmiddelijk opvallen dat ze puur op de "HTML auteur" gericht zijn, en dus shitterend niet op de browsermaker. Dus zijn ze op details ambigu en krijg je dat verschillende browsermakers de standaard net even anders interpreteren en implementeren en dus krijg je verschillende render-resultaten. Tot grote frustratie van "web designers" die proberen op alle browsers pixel-perfecte resultaten te krijgen. Overigens is die pixelperfectheid nooit het doel geweest van HTML, net als dat het gedoe rond "user experience" faliekant het punt mist. Het gaat om informatieoverdracht, en hoe dat eruitziet mag gewoon verschillen per browser. Trekken "web designers" niet, maar zo is het beestje ontworpen. Dat is ook een reden van de proliferatie van javascript-libraries en allerlei andere truuks om de browser in de browser opnieuw uit te vinden; pogingen om een uniforme "user experience" te creeren waar dat helemaal niet gegeven is. Kansloos, maar zo rolt het wezen van de webaap.

Maargoed, nu hebben we iets niews, en dat heet "HTML5". Dat is geen standaard in de gebruikelijke zin, zo van we spreken af dit is de standaard, leggen het vast, en gut ist. Nee, het is een "levende standaard". Ze brengen regelmatig losse velletjes uit waarvan ze declareren dat ze ook tot de standaard behoren. Waarmee je als domme gebruiker wel denkt een recente, standaardsgetrouwe browser te hebben, maar het is nooit goed genoeg. Want altijd zijn er wel weer nieuwe inlegvelletjes uitgebracht en moet je dus iedere morgen eerst maar je hele systeem updaten anders loop je achter op deze "levende standaard" en dat moetun we niet willun met zun allun, je weet tog.

Daarmee ondergraaft het hele webfeest de eigen geloofwaardigheid want het krijgt steeds meer weg van een eendagsvlieg. Een spectaculair obese eendagsvlieg want die "webstack" begint toch wel enorm groot te worden, maar is dus steeds minder lang houdbaar. En oh ja, hoe meer code, hoe meer bugs, hoe meer beveiligingsprobleempotentie.

Dit is overigens ook een reden (er zijn er meer, maar dit is er ook een) waarom de politiek met hun achterloze verplicht stellen van "digitale communicatie" tussen burger en overheid spectaculair kortzichtig is.

Maargoed, even vingerwijzen naar (de prutsers van) het W3C was altijd te makkelijk (al was het niet onterecht want inderdaad prutsers), maar dat is het ondertussen nog meer. En dan hebben we het nog niet eens gehad over het gedoe met de WHATWG en dat die HTML5-charade een nieuwe ronder browseroorlog verhult.

Dus ja, er zijn problemen in de browserwereld, vele en grote, maar nee, simpelweg "ze volgen de standaards niet goed genoeg" roepen is wat te goedkoop, aangezien dat hele concept van "standaard" vakkundig om zeep geholpen is in dat wereldje.

Sinds diezelfde update kan ik mijn HikVision camera's niet meer via HTTPS benaderen. Ergens accepteert hij het ingebakken certificaat niet meer en weigert Safari überhaupt iets te laden. Scherm blijft wit.

Voor intern gebruik is HTTP niet zo'n probleem, maar als je die camera's extern wilt benaderen moet je dat nu op een onveilige manier doen door de security update.

Misschien dat bij de aangifte hetzelfde speelt. Dit is echter niet te controleren omdat je nu op b.v. https://www.politie.nl/aangifte-of-melding-doen/aangifte-van-inbraak.html de melding krijgt dat aangifte via Safari niet gaat lukken. Ik kom dus niet eens op die probleempagina met Safari.

Voor Safari gebruikers:

Bij spoed: 112
Geen spoed: 0900-8844

Eigenlijk moeten websites met iedere brouwser overweg kunnen.
Er moet code in verwerkt zijn zodat dat mogelijk is,dat is het ook wel iets,want als je een site bezoekt,dan kijkt de site met welke brouwser je de pagina bekijkt.
Maar niet allle brouwsers ondersteunen ieder protocol wat op internet wordt gebruikt.
Daardoor ontstaat er soms dat delen van een site niet goed geladen worden,of dat je op een bepaald button op die site niet kan klikken,wanneer je het wel wil.

Je zit op de goede weg. Overduidelijk is er weer gerommeld aan een onderdeel dat Safari-specifiek was. De echte oplossing is om een echte browser te installeren. We horen inmiddels de Netscape/I E. 7+ tijd voorbij te zijn.

De vertikking is inderdaad prachtig. webaap als nieuwe standaardnaam voor html codekloppers/generators aangenomen.

Wat de standaards betreft. Encoding http://www.w3.org/TR/2016/CR-encoding-20161215/ Zie ik toch
"Editor's Draft: https://encoding.spec.whatwg.org/ "
Het is niet een gefrustreerde maar juist een bron van de levende echte standaard. OP w3org:
"The body of this spec is an exact copy of the WHATWG version as of the date of its publication, intended to provide a stable reference for other specifications. For the latest updates, including changes since this snapshot was published, please look at the WHATWG version. "

Ik heb wat uitdagingen lopen op encoding -unicode vandaar dat ik deze toevallig als eerste open klikte.

Dat is de doodsteek voor elke vernieuwing en/of innovatie. Juist die kant heeft met kritische mindset en de verbetermentaliteit de toekomst. ALs dat niet big bangs vereist blijft dat groeien.

"Nazi" gebruiken vind ik geen deftige standaard.

HTML-5 is sinds november 2015 (dacht ik) een W3C standaard.
Dit is dus iets, waar iedere browser aan hoort te voldoen, de makers hebben ook inspraak gehad.
Daar zijn uitbreidingen op mogelijk en dat zal dan leiden tot HTML-5.1 of zo.
Dit is, zoals ik het begrepen heb.

Foutenvrije website

[x] gezakt

Pak een willekeurige online website validator en je ziet dat de sectie https://www.politie.nl/aangifte-of-melding-doen/... bepaald niet vrij van fouten en waarschuwingen is.
In suggestie de problemen bij een software aanbieder leggen is wel makkelijk maar lost het probleem niet op.

Gelukkig is het zogenaamde probleem relatief klein: de aangiftebereidheid wordt om tal van redenen steeds lager en het gebruik van Chrome steeds hoger.
Ergo, een blij momentje voor de blauwe pet om iets aan te kunnen grijpen en de steeds meer genegeerde eigen aangiftesite onder de aandacht te brengen.

Security by obscurity tip, gebruik geen Safari als standaard browser.
Als men al MacOs of iOS target, target men Safari.
Daarnaast is merkwaardig genoeg juist bij overheidsdiensten het gebruik van Safari absoluut geen garantie dat de website vlekkeloos werkt. Integendeel, het komt regelmatig voor dat een site niet of matig werkt op Apples Safari maar wel op een andere browser.
Het idee om de vier belangrijkste Apple browsers te supporten gaat er bij veel webdevelopers nog niet in.

Al met al bestaat het sterke vermoeden dat het werk aan de werking en veiligheid van de Safaribrowser een stuk dynamischer en frequenter is dan het werk aan betreffende hinkende website met dalende bezoekersstatistiek.


(Ander helaas puntje

schrijvende deze post heb ik een aanvankelijk compliment aan alle reageerders hier weer weg moeten halen, OS flaming toch weer begonnen.
Os trolling, waarvan tenminste 2 reageerders alhier zich continue bedienen en de sfeer op deze site verzieken, staat inhoudelijke security discussie in de weg.
En dat is jammer.

Beperkt je tot discussies op het Os dat je zelf gebruikt en waar je wèl, danwel het meest verstand van hebt en loop niet te zuigen op topics waar je helemaal geen of het minst verstand van hebt.

Onduidelijk is waarom dit storende getroll van een kleine minderheid blijvend getolereerd wordt.
Goed voor de terugkeerbezoeken en daarmee advertentieviews?
Aan het cultiveren van trolling voor de advertentiekliks en bezoeken is een zogenaamde 'zustersite' kapot gegaan.
Laat security.nl er een keer van leren en een ('2') paar hardleerse reaguurders aanpakken.)

Je zit 3 keer zo fout als wat. Dat maakt het niet goed.
1/ Ik ben geen Microsoft adept. Ik heb niets met desktops ze moeten veilig het beperkten werk doen waar ze voor dienen
2/ Ik ben tegen vendor lockins. De vendor lockins beginnen bij mij bij de grote dienstverleners
Noem wat namen: IBM, HP Cisco, Cap gemini, Accenture, Ordina Atos, KPN, PWC sorry als ik er wat vergeten ben.
3/ Ik ben voor open standaarden. Vooral deze https://www.forumstandaardisatie.nl/standaard/nen-isoiec-27002
Het is nu net deze open standaard welke onder de noemer OSS en gratis voor niets software met voeten getreden wordt.
Lees het rekenkamer rapport Rotterdam en je ziet hoe men daar faalt met deze open standaard.

Aangezien je een fan bent van open standaarden mag je eens uitleggen waarom OSS daar zo vreselijk faalt.
Nu is die iso27k voornamelijk iets waar je veel nog zelf mag bepalen (het gaat om het doel).
Je kan doorklikken naar de IBG tactisch dan krijg je het in hfst 9 (fysiek) 10 en 11 beter uitgewerkt.

HTML5 doet het gewoon in Safari (net getest met laatste versie)
Daar kan het dus nooit aan liggen.

Dit is een term die ik zelf al een tijdje zo gebruik.

Nog even over de W3C:
-- Erik Naggum in comp.lang.lisp, 28 Dec 2002 http://harmful.cat-v.org/software/xml/s-exp_vs_XML (Erik Naggum is jarenlang actief geweest in het SGML-standaardencommittee) (cursivering toegevoegd)

En nu zijn ze het niet eens meer zelf die de standaarden zetten, maar spelen ze klaphamertje voor the WHATWG, dus hebben we twee gestapelde lagen van hetzelfde "nouja doe jij het dan maar"-effect.

Je hebt dus het hele politieke gedoe eromheen gemist, waaronder de welbewust geintroduceerde practische onmogelijkheid om "netjes" aan de standaarden te voldoen als je niet lid ben van een selecte in-group van browserknutselaars. Met andere woorden, je hebt de hele recente browserlente gemist.

In theorie, ja. In de praktijk... implementeer maar even een browser. Ik wacht wel.

Bijvoorbeeld een simpele webserver heb je in een paar uurtjes gepiept. Die zal dan veel niet ondersteunen maar dat is niet erg, functioneren doet het wel. Een webbrowser daarentegen... ik geef het je te doen. En HTML5 heeft dat verergerd, niet verbeterd.

Werk ze maar eens door. Mijn constante is het achter merk volgers/haters aan te gaan omdat ze in hun blindheid het doel met namen security/privacy negeren. Aangezien jij op je teentjes getrapt raakt ben ik je vijand volgens jouw vijandbeeld.

Ik had ook aangegeven dat je moest doorklikken naar de ibg tactisch en hfdst 10 11. Het mag ook de bir of iets anders dat identiek is zijn.
Het doel, zoals een wet vaak opgesteld is, vergt een goed begrip van alle randvoorwaarden.
Met een vinkenlijstje (opdracht doe dit doet dat) stelt geen eisen aan zelfstandig nadenken.

Dit is degeen die je makkelijk terug kon vinden: https://www.ibdgemeenten.nl/wp-content/uploads/2016/07/Tactische-Baseline-Informatiebeveiliging-Nederlandse-Gemeenten-v1.02.pdf.pagespeed.ce.qV9L-8-xni.pdf
Neem nu "10.1.3 Functiescheiding" "2. [A]Er is een scheiding tussen beheertaken en overige gebruikstaken.
Beheerwerkzaamheden worden alleen uitgevoerd wanneer ingelogd als beheerder, normale gebruikstaken alleen wanneer ingelogd als gebruiker." Letterlijk meerdere accounts voor een persoon zeker ook als beheerder op OS niveau en zeer zeker met OSS waar het tools/applicaties betreft..
Deze is voor mij een constante juist omdat het vanuit OS verblinden en OSS fanaten in de praktijk zo gefrustreerd wordt.

Terug naar het topic browser/applicatie. Ontwikkel/Bouw richtlijnen zijn er ook alleen zijn die minder strikt uitgewerkt. Je mag slechte applicaties (goederen) maken zolang je anderen er niet mee in gevaar brengt. Voor de continuïteit van de eigen organisatie spreek je over BCM processen.

Mag je over een kritische applicatie spreken met de aangiften site? Dat is een te beantwoorden vraag.

In dit geval van het niet werken van een bepaalde browser zou je aan een emergency change kunnen denken en aan actieve trackers - monitoring welke het functioneren - beschikbaarheid / availability (Van BIV, VIB=CIA) - in de gaten houden. Je kunt wel html pagina's naar eigen goeddunken in elkaar zetten en naar buiten gooien maar je kunt niet bepalen welke browser en hoe dat ding reageert. (Eens met de anoniemen in die hoek)

Het is in het verleden te vaak geprobeerd om één browser van één versie verplicht te stellen omdat je dan de lay-out en werking voorspelbaar als een 3278(mdl2) / vt100 terminal kan neerzetten. Altijd het effect van een lockin een geen innovatie ofwel verouderde ICT.

Nu heb ik altijd begrepen, dat meerdere browsers gebruik maken van dezelfde WebKit, waarin e.e.a. wordt geregeld.
Nu ben ik even spoor kwijt..........

Je kan daar op verschillende manieren naar kijken. Bijvoorbeeld dat aangifte doen een kritische applicatie van de overheid is en dat alle manieren waarop je dat kan automatisch ook kritisch zijn. Ik zeg, als je als overheid serieus bent naar je burger toe dan kijk je er zo tegenaan.

Dat de overheid poogt "digitaal" verplicht te stellen voor de burger terwijl de eigen ICT nauwlijks functioneert zegt, daaruit spreekt iets heel anders, namelijk vooral jezelf belangrijk vinden en minachting voor de burger. En dan is de vraag of iets een kritische applicatie is ineens veel minder belangrijk.

Weet je, de aloude landlijn is ook al tijden terug gestandaardiseerd. Niemand die je verplicht om een landlijn te hebben, maar als je er een hebt dan kun je ieder goedgekeurd telefoontoestel gebruiken. Dat heeft de opkomst van de mobiele telefoon, toch een duidelijke innovatie, geenszins tegengehouden.

De overheid zou kunnen zeggen, we pakken HTML4-strict en zorgen dat al onze sites zich daar precies aan houden. Dan kun je allerlei hippe gave dingen niet, maar de techniek is bekende koek en dus wel werkbaar te maken. Nouja, voorzover want zoals al eerder gezegd zo erg goed zijn de W3C-standaarden nou eenmaal niet. Maar het is voor het bieden van een betrouwbaar-werkende website wel beter dan zoveel mogelijk achter de allerlaatste snufjes aanhollen, wat de kans dat de browser van een willekeurige burger te oud is om mee te doen met deze overheidswebsite is dan toch een stukje kleiner.

Ik wijs even op de eerder aangehaalde Erik Naggum, die hier vrij duidelijk over is. "Men dacht" dat het niet uitmaakte wie je het liet doen, dus de qualiteit van het resultaat telde eigenlijk ook niet. Zowel bij het W3C als wie er president van de USA mocht spelen. Als je "Against All Enemies" van Richard A. Clarke leest, zie je dat Bush jr. allerlei dingen had kunnen doen die waarschijnlijk een beter resultaat hadden opgeleverd en dingen kunnen nalaten die toch duidelijk de boel verergerd hebben. Een W3C met betere mensen had wellicht, zegge zeer waarschijnlijk, andere beslissingen genomen met andere resultaten, niet ondenkbaar betere resultaten, en hun standaarden hadden er ook anders uitgezien.

In die zin is HTML5 een symptoom, geen oorzaak. Maar hadden we een betere standaard gehad dan was dat dus ook een symptoom van betere beslissingen door betere mensen geweest. Dus ik zeg dat het W3C wel degelijk de door "HTML5" beschreven situatie aan te rekenen is.

"Gebruikers" willen over het algemeen dat "het werkt", wat het ook is. Het zijn veeleer de webaapjes en wat hen drijft, maar bijvoorbeeld ook de browsermakers en de -oorlogen die ze voeren, die voor wat dan in het wereldje voor "innovatie" doorgaat zorgen, en dus weer meer eisen stapelen op wat iedereen zijn browser moet kunnen om nog een beetje mee te komen.

Dat is natuurlijk geen excuus om er een zooitje van te bakken. We blijken hier een doel te hebben dat nogal anders is dan de gebruikelijke praktijk, en nu blijkt de bestaande techniek dus gewoon niet goed genoeg om dat doel te bereiken en vast te houden.

En denk maar na. Voor een aangifte wil je vooral wat tekst invoeren. Mischien nog een plaatje of zelfs een filmpje bijvoegen, als je tijdens het voorval de politie niet kon bellen want je was te druk met filmen. Daar hoeft je browser geen filmpjes of plaatjes voor te kunnen laten zien, er moet gewoon een formulier op je scherm en er moet wat tekst in kunnen. Maar om zoiets te bouwen ontkom je er ondertussen inderdaad niet aan om een vreselijk breed scala aan technologie te ondersteunen, wat op een roedel bewegende doelen neerkomt. Je moet dus veel meer doen dan redelijk om dit ene probleem op te lossen.

In principe zou een overheidswebsite die je met een tekstmodus browser kan navigeren voldoende moeten zijn om een aangifte bij de politie door de bus te gooien. Overigens is het hele concept van "web" als enige digitale (en toekomstig helemaal enige want iedereen moet digitaal) goedgekeurd communicatiekanaal tussen overheid en burger, extreem karig, en zodra je er dus een impliciete vereiste van "moderne browser" dus grafisch en een gigantische berg code benodigd, onwerkbaar op de lange termijn en algeheel gewoon stom. Dit moet dus gewoon beter, en wel op zoveel niveaus dat het snel gaat duizelen.

Beetje jammer dat ik al vaker heb aangeboden en geprobeerd om de overheid dit te vertellen, maar zowel ambtenaren als politici snappen het niet en willen het niet snappen. Ze willen, in zekere zin, dat het "gewoon werkt", en er vooral niet over nadenken. Alleen zitten ze niet op een plek waar je dat even kan afdwingen. En al helemaal niet met "'web".

Het is gezellig en leuk om verhit te discussiëren over webstandaards, maar voor zover ik zie is helemaal niet duidelijk wat in Safari en in die website nou precies zorgt dat het niet meer werkt. Zolang dat niet duidelijk is lijkt me dat er geen zinnig woord te zeggen valt over de vraag of het aan het al dan niet goed omgaan met standaards en het al dan niet voldoende standaard zijn van die standaards ligt.

De essentie van de richtlijn is functiescheiding Integriteit van de gegevens oa door relesemanagement en het gebruik van service accounts (zijn letterlijk genoemd. Dat je zegt dat je het niet letterlijk moet nemen dat is nu net het issue. Je zegt eigenlijk doe maar wat .... Heb je het rekenkamer rapport Rotterdam gelezen? Inderdaad doe maar wat ICT.
Ja je kan voor high privileged accounts wat doen met sudo. Nee geen root! Dat het sudo als root alternatief gezien is al niet goed. Het volgende is dat jet met devops de installatie bij de business laat gebeuren inclusief die sudo verwachting. Dat gaat niet meer goed komen. Je moet het volgens de essentie van de richtlijn onder verschillende petten brengen.


Het is niet de belichaming het slechts een van de vele opties die je kan en zou moeten inzetten.
High privileged accounts (meerdere naar functie met ingeperkte rechten) service accounts (per taak gescheiden) het hoort er met veel andere zaken allemaal bij. Juist de inperking tot slechts 1 miniem deeltje werkt dat je als enkel een hamer kent overal spijker ziet. Dan heb je net mijn mening onderbouwd dat OSS behoorlijk security frustreert. Niet eens door de techniek maar door de beperkte inzichten en vaardigheden bij een inrichting.

Ironisch : Politie.nl beschouwd als misbruiksite met popupmalware

Malwarebytes merkt over de laatste iOS update en over pop up scam-alerts het volgende op

Politie.nl maakt gebruik van een soort van pop up functie midden in beeld, hetzelfde soort dat allerhande scarewarescams ook gebruiken.
Wellicht ligt daar het onbedoelde zijeffect van de niet meer werkende site.
Daar het web niet vol stroomt met massale klachten over dat het internet niet meer werkt, kan dit probleem dan ook beschouwd worden als een probleem dat die site zelf zal moeten oplossen.
Ironisch is het wel, per ongeluk 'teruggehackt' met een securityfix dat misbruik van pop ups indamt en javascripts aan banden legt.

Misschien nog wel beter ook dat het niet werkt.
Want weet jij veel wat er aan javascipt code op die website draait en wat er met de verzamelde informatie van systeemconfiguraties van gebruikers gebeurt?
https://www.security.nl/posting/510299/JavaScript-verkenningstool+gebruikt+voor+aanval+op+lobbygroep

Houdt het maar bij ouderwets aangifte aan de balie doen.
Dat is dubbel veilig, want de rottigste Mac malware wordt namelijk niet door boefjes gemaakt en gebruikt.
Het grootste gevaar voor de gezondheid van je systeem komt dan ook niet uit die hoek.
Neem het adagium van oppassen met welke sites je bezoekt dus wat breder, schakel geen javascripts in waar dat niet hoeft en kies voor andere oplossingen als het inschakelen van javascripts je veiligheid nu en op termijn kan ondermijnen.

Alle targeted aanvallen beginnen namelijk met specifieke technishe kennis van syteem en software configuraties.
Handig als je dat alvast breed kan verzamelen om later te gebruiken.
Securityhandig voor de gebruiker dat die site niet werkt.

Je slaat het eerste onderdeel van functiescheiding over, namelijk dat niemand een gehele cyclus van handelingen mag beheersen. Een bankmedewerker die met het ene account een frauduleuze transactie kan opvoeren en hem met een andere account kan goedkeuren is niet de bedoeling. "Letterlijk meerdere accounts" is alleen in de context van beheertaken gewenst, in elke andere context die ik heb meegemaakt is het taboe, daar wil je juist nadrukkelijk dat een gebruiker maar één account heeft.

Voor beheerders noemen ze inderdaad letterlijk meerdere accounts, en hebben het over ingelogd zijn als beheerder of als gebruiker.

Dat sudo niet letterlijk zo werkt klopt, maar is de essentie van het hele verhaal niet dat commando's met de juiste rechten worden uitgevoerd zonder het risico dat die rechten actief kunnen zijn voor zaken waar ze niet voor gewenst zijn? De mogelijkheden van sudo gaan heel wat verder dan alleen commando's als root kunnen draaien (al is dat in de basale configuratie die Linux-distro's voor thuisgebruikers leveren wel het effect). Je kan de rechten tot specifieke commando's en zelfs commando's met specifieke parameters beperken. De rechten waaronder het commando draait hoeven geen root-rechten te zijn, beheer-accounts kunnen ook via sudo worden aangesproken. Alle sudo-aanroepen worden gelogd, er is een audit trail van wie welke commando's uitvoert. De expiratietijd van wachtwoorden (die sowieso alleen binnen een specifieke shell-sessie gecached worden en niet in andere applicatievensters gelden) kan heel kort gezet worden. Al met al best krachtige mogelijkheden.

Kan je uitleggen wat er precies mis gaat als je sudo op een doordachte manier inzet dat goed gaat met meerdere accounts die je op een doordachte manier inzet en waar je apart voor moet aanloggen? En dan bedoel ik niet dat richtlijn X nou eenmaal Y zegt, dat weten we al, een concreet voorbeeld dat illustreert wat er mis gaat zou verhelderend zijn. Ofwel is er een goede reden waarom de schrijvers van die richtlijn dat zo stellen (die jij lijkt te kennen), ofwel heeft Rinjani een punt dat je dat niet zo letterlijk moet nemen en is die richtlijn wellicht geschreven vanuit het perspectief van een platform dat geen sudo of een even krachtig equivalent daarvan kent.

Klopt mee eens. Dank je voor de aanvulling.
Het laatste kan beter genuanceerd worden. Stel iemand heeft deel functies in meerdere verschillende domains mogelijk een overlap of geheel gescheiden. Noem een financial 2 dagen als baliemedewerker en 2 dagen als fiatering bij aanvragen. Het is niet echt voorspelbaar wanneer welke activiteit nodig is. Je wilt de meer kritische autorisatie niet op de balie hebben.

De hele clou is de eis van herleidbaarheid traceerbaarheid (wie heeft het gedaan).
Het betekent dat je het delen van accounts wilt voorkomen. Het betekent ook dat een gebruiker wel meerdere accounts mag hebben (herleidbaar tot de persoon). Maar ook dat er geen eis is dat een persoon maar één account mag hebben.
Het gaat hier niet technisch fout. Het gaat fout dat de instructies bij controle op de vloer gezien worden als een ieder mag maar één account hebben. Het bestaan en doel van beheerders accounts, test accounts, service accounts, high privilege accounts daarmee volledig gaan frustreren.

:<)

Klopt. Dank je voor de aanvullingen. Je zult de hele omgeving in al zijn onderdelen moeten begrijpen en dan gaan afperken per onderdeel waar die functiescheidingen nodig en gewenst zijn. Technisch prima te doen met sudo en DAC.

Neem nu eens een tool/applicatie (Web data metadata logging) waar je meerdere geschieden business applicaties in volledig O T A P gescheiden straten voor de databases/datasets en code/software wilt neerzetten. Tel dan eens het aantal service acounts (4-8), high privileged accounts bij het tool ( ook snel 5) en dan per business applicatie nog eens 8 stuks. Je hebt het dan snel of 50+ niet persoonlijke accounts waar je ook nog overal sudo's voor moet inregelen. Technisch prima te doen en voor een echt secure omgeving zou ik niet weten hoe het en beter en eenvoudiger kan.
Het is in de BI analytics big data wereld niet zo vreemd om hier tegen aan te lopen.

Nu mag jij de reacties van security architecten (oa Linux) en externe leveranciers voorspellen/delen. Mijn ervaringen tot nu toe: veel te lastig snappen we niet, doe maar met shared accounts en root. Gebruik Excel als iets niet lukt. Het is best practice, veel sneller en goedkoper. Ik wil van die houding op dat soort posities af. Gewoon een goede veilige inrichting zonder als die constante tegenwerking.

Wat een hoop offtopic gezwam van niet Apple gebruikers.

Oké. Dat dit soort dingen voorkomt kan ik beamen, ik heb zelf meegemaakt dat leveranciers met een internationale reputatie onwaarschijnlijk slordig omgingen met beheer-accounts op de systemen die ze bij klanten plaatsten, en dat deden alsof dat zo vanzelfsprekend was dat er niets afgestemd hoefde te worden met de klant, ze deden het gewoon. Ik heb overigens ook leveranciers meegemaakt die juist heel degelijk en secuur (en daardoor secure) waren.

De 50+ niet persoonlijke accounts waar jij op uitkomt in je voorbeeld kan ik niet helemaal volgen, de behoeftes zijn afhankelijk van het type applicatie en ze zullen niet allemaal zo complex zijn dat het zo hoog oploopt. Maar je probleem is dus dat niet iedereen bereid is om uit te werken wat ze uit zouden moeten werken.

Ik reageerde met mijn sudo-uitwijding trouwens indirect ook op deze zin in een reactie van jou aan Rinjani:
Je blijkt het er echter niet over te hebben dat OSS security frustreert maar dat mensen die security niet serieus nemen security frustreren. Dat beperkt zich niet tot OSS, en dat moet je dan ook niet aan OSS toeschrijven.

Daar vergis je je in :-)

Je hebt de kern van de frustratie over de houding netjes verwoord.
De uitdaging zit ment name in BI & Analytics waar de toepassing uit de data voorkomt. Meestal zeer gevoelige data waar de kenniswerker met gedegen achtergronden aan de slag willen. Excel als de oplossing is een mantra maar niet door mij gedragen.
Een klassiek boekings/verkoop systeem dat een vast proces van handelen hanteert is natuurlijk veel eenvoudiger.

Op het moment dat de OSS promoters die koppeling wel maken in promotie en ander manieren om hun geloof naar buiten te brengen is er wel een probleem. Als het verkoop en overtuigingsargument wordt, doe maar OSS want dan hoef je niet over de securityinvulling na te denken. Dan zijn de gevolgen toe te schrijven aan OSS. Niet direct maar wel indirect.


Volgens mij is de site politie.nl gebouwd in hippo https://www.onehippo.com/en/customers/national-police.html verkocht aan VS bedrijf https://www.computable.nl/artikel/nieuws/ecm/5864581/250449/cms-leverancier-hippo-komt-in-amerikaanse-handen.html een prijs van cap-gemini, "“Aangezien Hippo CMS open source is en op open standaarden is gebaseerd is kennisuitwisseling snel voor iedere Hippo gebruiker toegankelijk. Dus dit succes danken we ook aan al onze andere klanten waar we mee samenwerken zoals Rijksoverheid, NS, Universiteit van Amsterdam, Randstad, Consumentenbond en de ANWB. ” https://www.computable.nl/artikel/nieuws/ecm/5864581/250449/cms-leverancier-hippo-komt-in-amerikaanse-handen.html de opdracht uit 2012 https://www.computable.nl/artikel/informatie/awards-nieuws/4725313/1853296/politienl-en-het-nieuwe-intranet-van-de-nationale-politie-capgemini-hippo-asp4all-klpd-vtspn.html loopt zo te zien door.

Zoeken op hippo en safari geeft wat hits die duiden op browser effecten en compatibiliteits issues. Niets bijzonders in ICT.
Nu ben ik geen web-specialist, maar zie ik op de aangifte/politie site nu daar google analytics links? Het zou me niets verbazen, een opzet als een webwinkel. Alleen voor mogelijk gevoelige data houd ik daar niet zo van.

Misschien interessant:
https://www.200ok.nl/cms-gemeenten

Rinjani, Als er een hoge correlatie is met OSS promoten en slechte security (ca 1) dan is er geen direct oorzakelijk verband, wel dat er iets goed mis zit Ben jij blij met die correlatie? En wat denk je dat een correlatie van 1 betekent?

je hebt de links gedeeltelijk gelezen. Heb je ook gezien hoe sterk de band met cap zit. Die doen het niet voor gratis en niets. Voor de politie zag ik dat ze tot 30 man aan het werk hadden. Mijn schatting voor het budget van dat werk aan de site zit dan tussen de 5 en 15Miljoen voor de afgelopen 5 jaar.
Met de CMS gemeenten zien je een anderen markt. Van alles wordt uitbesteed en je kunt leveranciers zoeken https://www.softwarecatalogus.nl/leveranciers?zoek=&order=title&sort=asc. Cap zit daar meer in online vergaderen Ibabs. Interessant om daarmee de open raadsstukken te vinden. Ook dat gebeurt allemaal niet gratis.

360 gemeentes die allemaal ongeveer het zelfde doen en allemaal bij externe leveranciers moeten aankloppen. Iets zegt met dat er een vendor-lockin is en dat het veel efficiënter zou moeten kunnen.

Je maakt een attributiefout als je slecht gebruik van op zich goede tools beschrijft alsof die tools niet tot goede resultaten kunnen leiden.
Een correlatie van 1? Nou maak je jezelf echt volslagen ongeloofwaardig. Heeft XS4ALL van de inzet van FreeBSD en Debian voor hun servers een puinhoop gemaakt? Dacht het niet. Zou Dreamworks voor de renderfarms waar films als Shrek op zijn doorgerekend geen beveiliging hebben geregeld? Natuurlijk wel. Zouden bedrijven als Intel geen behoefte aan goed geconfigureerde lithografiemachines voor chips hebben? ASML gebruikt Linux op die dingen.

Je zal best slechte ervaringen hebben maar het applicatiedomein waar jij bekend bent, aangenomen dat het daar echt altijd huilen met de pet op is, is misschien niet de hele IT-wereld. De slechte ervaringen met leveranciers op het gebied van veiligheid die ik in een eerdere reactie noemde hadden trouwens allemaal betrekking op propriëtaire systemen.

Nope de correlatie tussen twee totaal verschillende attributen mag hoog zijn. Kun je uitstekend op scoren. Alleen causation en correlation moet je anders uitleggen. Zoek maar op de begrippen
Mijn wereld is bi en Analytics big data. Daar heb ik nog nooit iets echt correct neergezet zien worden. Dat volgens de vereiste eerder genoemde richtlijnen. Binnen die omgeving correlatie=1. Je kon het aantal niet persoonlijke accounts al niet plaatsen. Ik neem daardoor aan dat je die wereld niet kent.
Neem maar aan dat daar met gevoelige data gewerkt wordt.

Heel wat anders dan een filmpje maken of macientje bouwen. Was asml niet onlangs gehackt zonder dat ze het wisten.

"Binnen die omgeving", dat sla je nogal eens over. Je praat erover alsof het om universele waarheden gaat maar wat je als waarheden ziet is gekoppeld aan het deel van de werkelijkheid dat jij kent. Je lijkt de bescheidenheid te missen die nodig is om je eigen beperkingen te onderkennen en van daaruit te snappen dat een claim als "correlatie=1" van een stelligheid is die niemand op basis van alleen persoonlijke ervaringen waar kan maken over een vakgebied dat zo omvangrijk en divers is als IT.

http://www.kritischdenken.info/KD_files/logische%20misvattingen.php#Autoriteit

Ik wil je ervaring en professionaliteit niet bagatelliseren, je kan best een kei zijn in wat je doet, maar ik ben niet gecharmeerd van hoe je ermee omgaat.

Rinjani meldt hierboven dat hij er bijna 7 jaar gewerkt heeft hij reageerde instemmend op me. Als hij bij ASML gewerkt heeft spreekt hij vermoedelijk met heel wat meer autoriteit daarover dan jouw denigrerende "machientje bouwen". Dat zijn knap indrukwekkende machientjes zonder welke jouw vakgebied niet eens zou kunnen bestaan. Iets meer respect voor wat anderen zelfs maar op hun CV zouden kunnen hebben staan, graag.

Dat Rinjani en jij vanuit behoorlijk verschillende ervaringsgebieden spreken lijkt hiermee duidelijk te zijn. In plaats van af te geven op ervaringen die niet met de jouwe stroken zou ik je aanbevelen om je eens af te vragen of er inzichten aan te ontlenen zijn die je vanuit jouw achtergrond hebt gemist. De indrukwekkendste experts, op welk terrein dan ook, zijn niet diegenen die doen alsof ze alles het beste weten maar juist diegenen die snappen hoe veel ze nog niet weten en die altijd open blijven staan voor wat een ander te melden heeft. Zo blijf je namelijk leren en bljift je inzicht groeien.

Voor de volledigheid, mijn achtergrond is een kwart eeuw softwareontwikkeling in de financiële sector, vooral mainframe en web-frontends naar mainframe-applicaties, en binnen dat wereldje een sterke nadruk op software die gericht was op wat de ontwikkelaars zelf nodig hadden om hun werk goed te doen, inclusief de nodige security-gerelateerde software-infrastructuur. Daarnaast heb ik uitstapjes gemaakt in onder meer beeldbewerking.