Meer informatie hier. Dateert van tien jaar geleden overigens, maar is in principe nog steeds actueel:
https://stackoverflow.com/questions/820030/how-do-i-test-the-quality-of-an-encryption-algorithm

Let ook hierop: http://ssl-checker.online-domain-tools.com/

J.O.

En denk ook aan black box testing, waarmee je de werking van software verifieert zonder er veel over te weten. Je kan natuurlijk op basis van wat je waarneemt (de fix voor het ene probleem introduceert andere problemen, op plaatsen die eigenlijk niet gerelateerd zijn) conclusies trekken over de betreffende software. Zoals dat het veel van de kenmerken van spaghetticode etaleert.

https://www.security.nl/posting/642584/Spaghetticodebouwwerk

Hoe wil je closed source software precies gaan linten? En op die manier kun je misschien aantonen dat de encryptie sterk is, maar hoe wil je aan tonen dat er geen backdoor inzit?

Het maakt het niet onmogelijk om iets te zeggen over hoe veilig iets is (je kunt bijvoorbeeld een pentest doen op closed source software), maar het maakt het wel lastiger om echt onder de motorkap te kijken.

En @Jodocus, wat is nou precies je stelling? Want echt coherent is het verhaal tot nu toe niet.

@anoniem van 12:11 & The FOSS,

Eigenlijk is mijn topic start een verhulde poging voor wat mijn leermeester F.R.A.V.I.A. (R.I.P.) "luring" noemde.
"Luring" in die zin is een methode om achter bepaalde (nog verborgen) info te komen.
Dat is een manier, om spreekwoordelijk 'een spierinkje uit te gooien om mogelijk een kabeljauw mee te vangen'.

Wie klapt er eens een keertje echt "uit de school"? Soms worden deze gasten onbewust getarget?
De verhullers staan gelijk klaar met gag orders, doom & gloom etc.
Men moet geheimhoudingsverklaringen tekenen etc, krijgt gesprekken met Europol etc. enz.

Steeds als wij ergens hoogte van proberen te krijgen m.n. van de omvang van de kwetsbaarheden en exploiteerbaarheid
door blootgesteld zijn aan vrij ondoorgrondelijke propriety software (MS Windows, Google Android)
etc .

Dat dan gezien tegenover de betrouwbare verificatie en validatie van open software (free as in "free beer").
Telkenmale stuit men op allerlei deraillerende reacties vol onbegrip
en getroll van collaboraten van Big Data Tech Corporaties.

De coherentie in het verhaal is:
"Worden we het zonder dat we het weten op een ongelofelijke manier in de boot genomen, door propriety coders
en stelt men ons zonder ons te vertellen achterbaks bloot aan verhoogde kwetsbaarheden enz.

Kijk nu bijv. naar de wifi-spreader functionaliteit van Emotet, een van de gevaarlijkste vormen van malware recentelijk.
De malcreant/ontwerpers misbruikten bijvoorbeeld "Googlebuf code functionaliteit" op een api voor hun wifi-spreader.

In hoeverre zijn dus propriety coders mee verantwoordelijk voor de huidige pn*wed malware situatie?
Wie zijn de enigen, die weten van de hoed en de rand en waarom doen ze niet aan enige vorm van disclosure?

Overheidsinstanties hebben grote gedeelte van genoemde code maar helpen de eindgebruikers evenmin zich te beschermen voor de gevolgen van deze commercieel gedreven geheimhouding in alle opzichten.
Waarom worden resource engineers steeds meer aan banden gelegd?

0-1 voor de oprechte valide researcher!

Jodocus Oyevaer

Er is niets mis met XOR als cipher - mits elke bit van de sleutel "onraadbaar" is en je sleutels (reeksen bits) nooit hergebruikt. Stream ciphers zoals RC4 gebruiken XOR. RC4 bleek zwak omdat de sleutelbitstream "biases" heeft, met enige voorspelbaarheid als gevolg.

Er is voortdurend vanalles mis met Fortinet. Na de in mei 2018 door Sec-Consult ontdekte blunders in o.a. FortiGate en Forticlient en de anderhalf jaar die Fortinet nodig had om die problemen op te lossen, bleek begin dit jaar dat FortiSIEM een hardcoded SSH key aan boord heeft die in alle devices identiek is; zie https://seclists.org/fulldisclosure/2020/Jan/10.
Die kwetsbaarheid (na de melding op 2 dec. 2019, ondanks communicatieproblemen tussen melder en Fortinet) is na anderhalve maand gepatched (https://fortiguard.com/psirt/FG-IR-19-296) - dit zou op vooruitgang kunnen wijzen.

We hebben het hier echter niet over de groenteboer, maar over een maker van security-producten die je voor flink geld aanschaft om je te beveiligen. Uit https://www.fortinet.com/corporate/about-us/about-us.html

Na mijn eerdere onthullingen over een identiek CA certificaat + private key in alle uitgeleverde Fortigate SSL/TLS inspection firewalls (zie o.a. https://www.security.nl/posting/37180/Fortinet+SSL+DPI+ook+lek+%28net+als+Cyberoam%29%3F en https://www.kb.cert.org/vuls/id/111708/) lijkt het mij duidelijk dat het hier om een hardleerse club amateurs gaat. Onbegrijpelijk dat hun troep nog steeds verkocht wordt. Zo moeilijk is het voor kopers toch niet om te zoeken op Internet?
Overigens benoemt https://www.cvedetails.com/vendor/3080/Fortinet.html zo te zien die laatste kwetsbaarheid CVE-2019-17659 nog niet; ik weet niet of hun lijsten verder wel compleet is zijn.

Hardcoded credentials zijn altijd een voorbode van ellende. Er bestaat geen andere oplossing dan bij de ingebruikname (of op elk gewenst willekeurig moment daarna) het device zelf, gebruik makend van een betrouwbare CSPRNG, unieke credentials te laten genereren en/of de beheerder in staat te stellen deze zelf te laten bedenken of genereren en in te voeren.

@Jodocus Oyevaer: mocht jouw spierinkje bedoeld zijn om te kijken of de kabeljauw nog rondzwemt: ja dus ;-)

Dank je Bitwiper voor je als altijd informatieve reactie.

Er werd aan de bel getrokken, waarvan jij precies wist te vertellen waar de klepel hing.
Slechte beurt voor die Fortinet-boys & -gals.

Je conclusie vertrouw niet of nooit een oplossing,
die zich als panacee presenteert, maar het nooit blijkt te zijn.

We zijn wederom gewaarschuwd en de gewaarschuwden tellen zoals gezegd voor twee.
Vertrouw ook in code-land niemand op de mooie blauwe ogen.
Derhalve onderzoekt alle dingen en behoudt het goede (of in dit geval het betere),

Jodocus Oyevaer

Jodocus,

Stel je hebt sotfware van zo'n externe leverancier onder handen, dan kun je veel van de werking en de zwakke plekken herleiden.
Hard code passwords decryptie van wat als hashes verkocht is en veel. meer. Het probleem is dat als je die zaken ziet tegen muren oploopt.

Er zit gegarandeerd open source verweven, daar heb je al ddn probleem wat verkocht als veilig waar niet naar gekeken mag worden.
De projectmanager heeft als doel het uitgerold te krijgen en zit niet ladtige situaties te wachten.

De externe partij die de aanbesteding heeft gewonnen wil zo min mogelijk issues met die vaste prijs. De leverancier met de best practices als adviezen staat sterk om zijn methode ongecontroleerd door te zetten.

Ja je kan er het nodige uithalen, nee daar niet zomaar iets mee gebeuren.

@karma4,

Ik begrijp de ontnuchterende conclusies vanuit real-life/real-world situaties en dat is dan ook waardoor deze "dozenschuivers" vrijwel altijd hiermee wegkomen. De lieden uit het beslissingencircuit, veelal geen technisch-IT-figuren met een Business School opleiding of binnengekomen via Marketing Studies met de nodige kruiwagens, laten dit meestal zo aflopen. In hun ogenis dat een "win-win"-situatie, maar degenen die er met technische kennis en ervaring naar kijken, lopen vervolgens de "griebels"over de "grabbels". (Je begrijpt wel wat ik daarmee bedoel ;)).

Er zal wel iets mee gebeuren via de nodige druk vanwege incidenten. Er is altijd eerst de ontkenning, dan de fase van ridiculisering en tenslotte het niet langer weten te ontkennen en de daarop volgende stappen.

Het moet eerst vele keren ongelooflijk fout zijn gegaan, vooraleer men de putten voor de te verdrinken kalveren gaat dichten.

Maar het omgekeerde geldt ook voor de verdere gevolgen van dit beleid. Zie waar propriety Googlebuf web-api code functionaliteit nu toe gaat leiden bij het allergevaarlijkste stuk malware dezer dagen - Emotet met wifi-spreader.

De code-dozen-schuivers hebben dus ook een grote verantwoordelijkheid naar de gebruikers-community toe,
die je niet alleen kan afdoen met commerce is our only priority en de rest calculeren we aan boeten desnoods in
of wentelen we als kosten af op de eindgebruikers.

Jodocus Oyevaer

Toch blijft het me verbazen, hoewel er zo vele keren open deuren worden ingetrapt hier over bepaalde zaken,
de goegemeente toch niet blijkt te reageren en bijna apathisch reageert.
Ook wat betreft closed source x-client-data tracking.
De "het zal wel" houding of de versie "Zal wel, gaat me allemaal boven me pet".

De tegenhanger zal derhalve niet veel aan bewustwording en technische educatie doen,
alleen als het de eigen "monopolistische missie" bevordert, dan wel natuurlijk.

Bijvoorbeeld ten aanzien van dit gegeven.
Google stalkt je op het Internet langs alle Google sites via de X-Client-Data-Header:
: https://www.theregister.co.uk/2020/02/05/google_chrome_id_numbers/

De code[1] laat zien dat de X-CLIENT-DATA wordt verzonden naar elk any google.X domein,
waarvan Google de TLD bezit (niet voor YouTube echter, want dat was nog te begrotelijk om te verwerven,
zelfs voor deze gigant).

Niemand kan hier echt verbaasd over zijn, want dit is altijd Google's core-business geweest.

Maar zie wat voor duystopische vormen het inmiddels aangenomen heeft,
zodat vrijwel geen enkele eindgebruiker op Interwebz zich eraan onttrekken kan (zeker niet geheel).

Ze maken alleen maar een tracking browser, zodat ze je uit je sokken kunnen tracken op zoek naar all je data.

De Google Analytics, DoubleClick, Adsense, reCaptcha en andere code staat op vrijwel elke website,
die er maar enigszins toe doet. Dus het wordt tijd voor eens wat gezondere competitie.

Een publiek bewaard geheim dus, dat eenmaal geopenbaard tot weinig reactie's zal leiden.

Wel dat enige gebruikers een andere zoekmachine zullen gaan gebruiken als bijv. DDG & Quant e.d.,
maar actie van de kant van regelgevers en waakhonden hoeven we niet te verwachten.
Je zou welleens direct een handelsoorlog kunnen riskeren uit Silicon valley en Silicon Forest.

We zien hoe moeilijk het is om het closed propriety source bastion echt concurrentie aan te doen.
Tenslotte moet gezegd dat samen met de "veelal verborgen agenda" er ook heel wat additionele veiligheid
wordt geintroduceerd als bijprodukt van en ondergeschikt aan deze agenda.

Jodocus Oyevaer

Dat heb je toch niet goed begrepen Jodocus:

(a) De implementatie van het Emotet protocol is gebaseerd op Google protobufs [1], het is helemaal niet zo dat er gebruik wordt gemaakt van kwetsbaarheden daarin (zijn die er überhaupt wel?);
(b) Hoezo proprietary? Google protobufs staat gewoon op GitHub [2];
(c) Emotet is gewoon Windows malware; zie wederom [1];
(d) als je malware zegt kan je in de regel net zo goed Windows malware zeggen; zie [3].

Dus zorg eerst dat je je feiten op orde hebt voordat je bijdraagt, want anders hebben nadere overwegingen geen enkele zin en verspreid je uiteindelijk alleen maar fake news (nepnieuws). Dat is kwalijk en je wilt toch niet zoals karma4 worden?

[1] https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/
[2] https://github.com/protocolbuffers/protobuf
[3] https://www.security.nl/posting/642914#posting643363

@The FOSS
Je legt me woorden in de mond. Ik zeg dat malware misbruik is, niet dat het code aanpast. Google faciliteert mee malcode. Google is Linux propriety source.Doet hetzelfde als evenknie M$.
Dat is geen fake nieuws. Je bent een Google vertroetelaa
Jodocus Oyevaer

Hij heeft het uitstekend begrepen:
[quot]
Er zal wel iets mee gebeuren via de nodige druk vanwege incidenten. Er is altijd eerst de ontkenning, dan de fase van ridiculisering en tenslotte het niet langer weten te ontkennen en de daarop volgende stappen.

De code-dozen-schuivers hebben dus ook een grote verantwoordelijkheid naar de gebruikers-community toe,
die je niet alleen kan afdoen met commerce is our only priority en de rest calculeren we aan boeten desnoods in
of wentelen we als kosten af op de eindgebruikers.[/quot]

Je zou maar een foss zijn die slaafs volgt wat het grootkapitaal hem onder het mom van openheid heeft opgedragen. Dat is nu net de verkeerder boodschap die beslissers krijgen van de bashers. Jij bewijst telkens weer het volgende:
De ICT specialisten kunnen het niet, snappen het zelf niet dan nemen wij wel het voortouw.

@karma4 Een leuk verhaaltje maar geen enkele inhoudelijke weerlegging van het onderstaande.

Zitten we met het verschil tussen BSD open source Google.protobuf.Any en Protocol Buffers v3 api:
https://cloud.google.com/apis/design/proto3 Cloud.Google.com deelt derhalve mee:
Wat doet Google daar?

Als je zo vast zit in je open source versus propriety source oppostie, zeg maar rustig obsessie,
kan dat voeren tot iemand beschuldigen van nepnieuws. Of woorden in de mond leggen als "bugs" of "kwetsbaarheden".
Doe dan ook niet zelf waar je anderen van beschuldigt.

Ik beweer alleen dat code (ongeacht welke) altijd als white hat code,
grey hat code en black hat code kan worden gebruikt of misbruikt in het laatste geval.

Of het simpel gebruik van code is voor malware functionaliteit of dat er bugs worden misbruikt
(daar heb ik het niet over gehad).
Het woord kwetsbaarheid heb ik nooit gebruikt, want functionaliteit is geen kwetsbaarheid an sich.

Google met google.protobuf heeft wel degelijk een verantwoordelijkheid bij abuse,
het is toch niet github.protobuf? Het heeft een vernieuwde BSD & MIT licentie met restricties.

Jodocus Oyevaer

@Jodocus Oyevaer Je suggereerde in eerste instantie heel wat anders. Of misschien begrijp je zelf niet helemaal wat je schrijft, dat kan natuurlijk ook.

Ik reageerde ook op je gangbare persoonlijke aanval.
Met dat verhatje heb je geen inhoudelijk weerwoord.

Je zit volledig geblokkeerd in je open closed source obsessie.
Dat is duidelijk.

@karma4 & The FOSS,

Mijn draadje wordt dan wel weer slachtoffer van persoonlijke veten, die hier voortdurend uitgevochten worden.
Terug on topic, zorgt Google met zijn Android versie nu voor verhoogde veiligheid op de infrastructuur of niet?

Wat is het verschil met wat Google nastreeft met zijn core-business agenda,
alsmede de door hen ingestelde software restricties (o.a. men mag de naam Google nergens gebruiken e.d.).
en "gewone" open software en andere propriety software als die van Microsoft?

In vele opzichten heeft dus Big Tech Google de infrastructuur voor eindgebruikers veiliger gemaakt,
https everywhere, verwerven van VT, Google Safe Browsing etc.
maar aan de andere kant heeft het ook voor veel "security through obscurity" onveiligheid gezorgd,
die ook weer heel wat extra problemen en info-versluiering heeft gebracht.

Of komt het alleen omdat met Android linux ook de massa is mee gaan doen (onveiliger werkend)
i.t.t. tot een toch wat exclusiever clubje linux-puristen?

Ik wil slechte en onveilige code tegenover veilige(r) code bashen
en niet verzeild raken in de oppositie open source = goed propriety software = slecht uiteenzettingen.

Zo zwart-wit ligt het allemaal niet naar mijn zeer bescheiden mening.

Jodocus Oyevaer

Wie?

Ik kan niet helemaal volgen hoe je van encryptie en hard coded keys bij Google uitkomt, maar goed. Daar ook deze draad alweer dreigt te worden doodgemept door de toptrollen van security.nl, wil ik wel wat kwijt in antwoord op jouw vraag over dit nieuwe topic. Mede omdat fenomenen als Google m.i. wel "een dingetje" zijn waar we ons niet genoeg zorgen over kunnen maken.

Helaas is het allemaal zo dubbel:

1) Google wilde ook overal https omdat ISP's in de VS de advertenties van Google door die van anderen vervingen en click-fraud erg eenvoudig was via http;

2) Google heeft de beste zoekmachine maar registreert elke site die je bezoekt. Aan de ene kant logisch (om sites met meer kliks hoger in de lijst te laten eindigen) maar ook om van iedereen vast te stellen wat diens interesses zijn, op basis waarvan zij gerichte advertenties kan tonen. Dit gaat al een tijdje zover dat je, als je met NoScript JavaScript disabled, en je de URL (naar deze security.nl pagina) uit de Google zoekpagina copy-paste in de URL-balk, om zo te proberen Googles alwetendheid te beperken, dat niet meevalt. Die ziet er namelijk uit als volgt:

https://www.google.com/url?q=https://www.security.nl/posting/643183/Toch%2Bis%2Ber%2Bwel%2Been%2Bvinger%2Bachter%2Bte%2Bkrijgen___&sa=U&ved=2ahUKEwiW-ZyL1cznAhUEPewKHR8eB84QFjAAegQIAhAB&usg=AOvVaw3-QrzNQ4tgmmzriMJrM_L1

Als je die karakterreeks via het klembord in de URL balk van je browser plakt, ga je dus nog steeds eerst naar Google. Omdat ik voor een ander project een ingewikkelder Firefox extensie wil maken en geen idee had hoe je dat doet, heb ik eerst (als oefening) maar een extensie maakt die:
- "https://www.google.com/url?q=" verwijdert;
- Alles vanaf "&sa=" verwijdert;
- Wat er overblijft "unescaped".
Dan hou je over: https://www.security.nl/posting/643183/Toch+is+er+wel+een+vinger+achter+te+krijgen___
Ben ik nou net zo dubbel als Google als ik zo'n browser-extensie gebruik? Of net zo hypocriet?

3) Google Analytics is vast handig voor eigenaren van websites, maar natuurlijk ook voor Google - en het zou mij niet verbazen als 70% van de websites in de westerse wereld hier gebruik van maakt;

4) Als een website geen Google Analytics heeft, gebruiken ze soms fonts van Google en/of ajax.googleapis.com, waardoor Google toch weer weet wie welke site bezoekt;

5) Door safe browsing weet Google ook wie wanneer welke website bezoekt;

6) Ook kun je inloggen met jouw "Google" account;

7) Via gmail weet Google niet alleen vanalles van mensen met een gmail account, maar ook van mensen die e-mails sturen naar mensen met gmail accounts;

8) Google faciliteert ook RTB (Real Time Bidding) advertenties waarbij zij ook ronduit kwaadaardige adverteerders een platform geeft (zie https://www.security.nl/posting/642853/Chrome+gaat+downloaden+van+bestanden+via+http+blokkeren#posting642874). Waarmee zo'n adverteerder ook weet wat jouw interesses zijn. Overigens heeft Brave hierbij waarschijnlijk ook een dubbele agenda, omdat ook zij aan advertenties verdienen - maar natuurlijk niet die van Google;

9) Door Maps weet Google waar iedereen zich bevindt, en door street view/satellite/earth hoe onze huizen, vervoermiddelen en leefomgevingen er uitzien;

10) Chrome is natuurlijk helemaal handig voor Google. Maar ook in andere browsers gaan zoekopdrachten (iets in de URL-balk dat de browser niet herkent als URL) vaak naar Google;

11) En wat te denken van Android en de "Home" speaker/microfoons;

12) en van Google docs, Google health, ...

Google heeft zich bij heel veel mensen onmisbaar gemaakt door "gratis" enorm handige functionaliteit te bieden op heel veel vlakken. De weinige mensen die hier wat verder over nadenken, nemen de risico's meestal voor lief. Ook ik, alhoewel ik het delen van mijn gegevens met Google wel iets probeer te beperken.

Wat je Google na moet geven is dat ze hun beveiliging goed op orde lijken te hebben, want ik kan me geen grote datalekken bij hen herinneren. Maar reken maar dat Google bijna alles van bijna elke westerling weet doordat zij op een exagantische (giga, tera en zelfs peta zijn peanuts) berg data zit en (vermoedelijk) over de slimste zoekalgoritmes ter wereld beschikt.

De leden van het huidige top-level management hebben niet het eeuwige leven; je kunt alleen maar hopen dat het privacy- en beveiligingsbeleid van Google niet verslechtert door opsplitsing, overnames van delen van Google of wijzigingen in genoemd management. Want reken maar dat er kapers op de kust zijn, en dat zijn niet alleen kleine jongens...

Dank je, Erik voor je bovenstaande uitgebreide reactie.
Op veel fronten deel ik je inzichten, maar ook zeker met enige ongerustheid, zeg maar.

Ik kom uit de stal van de veel te vroeg gestorven aanvankelijk resource-hacker en later searchlore guru, F.R.A.V.I.A.
Mijn online specialisatie over de afgelopen veertien jaar is 3rd part cold recon website security met links naar het av-gebeuren.

Samen met beroemdste hacker uit Wenen, de nu Praagse security researcher, Peter Kleissner,
deed ik mee aan een experiment om sink-holen te kunnen automatiseren. Hij gaf mij een online opleiding.

Als ik de huidige stand van zaken rond generieke veiligheid op de website & webserver (client & server) moet omschrijven, wordt het me soms bang te moede. Het is vaak niet meer veilig te krijgen. En dat er vaak niet meer gebeurt in negatieve zin, is vaak meer geluk dan wijsheid voor de huis-tuin- en keuken-eindgebruiker.

Google introduceerde HTTPS-Everywhere als campagne, kijk eens op de https://atlas.eff.org waar het bij vele sites overal nog aan schort. Kijken we vervolgens naar af te voeren JavaScript bibliotheken, header security configuraties, CSP settings,
DOM-XSS sinks en sources, mogelijk MiM aanvallen, de onveiligheid van kwetsbare PHP versies op Word Press CMS en via mage report scans de flaws bij Magenta webshops e.d. En nog vele zaken meer. Dan kan men stellen dat de doorsnee Internet gebruikers de grote Data Tech Bedrijven niet hebben kunnen bijhouden. De meesten kunnen dus niet beoordelen, testen of zien hoe "evil" of hoe "not evil" Google bijvoorbeeld is. Ze zijn alleen maar afhankelijk gemaakt van "het gemak waarmee je diensten van Google gebruiken kan", vaak zonder over de keerzijde en het gevaar van e.e.a. maar even na te denken. Welke prijs betalen we op termijn hier met zijn allen voor?

Man, man, man, het is een feest voor malcreanten, ransomware spreaders, spammers, scammers, bloat- & adware en
dus niet te vergeten het over het gehele internet stalkende gebeuren van de grote dataslurpers met als grote monopolist,
inderdaad Google en aanverwanten.

Als het zo doorgaat en we niet een of andere overhaul maken, website developers niet de tijd gunnen veiliger te coderen en testen vooral en niet de verkeerde mensen, zonder technische kennis de beslissingen laten nemen, die steevast weer kijken naar de kosten en baten en vallen voor mooie praatjes van "dozenschuivers", gaat het Internet in die zin hoe of we dat ook hebben gekend er aan!

Mijn bovenstaande vraag, die jij ook in grote delen beantwoordde, naar jouw gewaardeerde visie, is dus, waartoe gaat de "dubbele" agenda van Google, facebook, Amazon, CloudFlare samen met de drie en vier-letterdiensten van het grote Surveillance Imperium ons voeren. Krijgen we geprefereerde info ingegoten en wordt de info, die main stream niet wenst te laten zien, van ons weggehopuden (ranking, via andere technische middelen of via regelrechte censuur).

Waartoe gaat de grote golf van ransomware op a priori te zwak beveiligde infrastructuur leiden? Ik heb af en toe het idee dat ik in een soort van digitale neo-Middeleeuwen ben aangeland met vele roofridders en struikrovers en de Keizer in Trier is hier in Holland ver weg. Geschiedenis placht zich te herhalen natuurlijk, maar nooit op identieke wijze.

Eindvraag, en wie controleren er tenslotte de controleurs?

Jodocus Oyevaer

Deze meneer lijkt wel heel erg veel op undertaker van webwereld.

Ja, duh... Ze gebruiken geen Microsoft software dus met de veiligheid en robuustheid zit het wel goed!

Je weet toch hopelijk wel dat dat klinkklare onzin is? FOSS is niet magisch in staat om flagrante fouten van mensen die het installeren en beheren op te vangen. Zelfs de meest robuuste software moet nog altijd goed geïnstalleerd, geconfigureerd en beheerd worden. En zelfs als het makkelijk is om het goed te doen lopen er mensen rond met een ongelofelijk talent om ook daar een puinhoop van te maken.

Het is geen automatisme, je moet het ook nog goed gebruiken en beheren. Dat Google dat behoorlijk goed op orde lijkt te hebben neemt niet weg dat het nog absoluut niet gezegd is dat het met veiligheid en robuustheid wel goed zit als produkt X maar niet gebruikt wordt.

Met een opmerking als deze geef je blijk van net zo'n gebrek aan inzicht en net zo'n onvermogen om basale logica in je denken toe te passen als karma4 regelmatig doet. Bij hem heb ik de hoop allang opgegeven dat hij tot beter in staat is. Ben jij van hetzelfde bedroevend lage niveau? Zo nee: hou je dan alsjeblieft even in voor je dit soort onzin uitkraamt.

Je hebt gelijk Jodocus Oyevaer. Erger kijk eens naar de reacties:



Het is het puberale vastzitten in de OS flaming van de jaren 90 wat er getoond wordt. Dat is waar ik in de praktijk teveel ellende van meegemaakt heb. Met een management die andere agenda's heeft en dat soort geluiden is het vrijwel onmogelijk om er nog wat behoorlijks door te krijgen.

We hebben allemaal een eigen achtergrond en eigen ervaringen. Waar jij heel diep zit in het gedoe rond encryptie en netwerk zal een ander op een ander gebied veel meer hebben. Erik schakelt naar Google maar blijft heel goed bij je vraag hoe je er toch een vinger achter zou kunnen krijgen. (slechte kwetsbare code / goed code).
Nah goed op orde? Genoeg langs zien komen https://www.security.nl/posting/638141/Malafide+apps+in+Play+Store+kaapten+telefoons+via+Android-lek ook met IOS en andere systemen. Geen enkele systeem is veilig. Wat ze wel goed voor elkaar hebben is om uit de vuurlinie van de schuldvraag te blijven. Ik denk even aan alle lekke open databases in de cloud die gehost worden.
De lijst van componenten is lang: https://cloud.google.com/pricing/list Gaat er wat mis en je kan alle schuld verleggen naar de klant dan heb je als dienstverlener een machtige positie. Een voorbeeld:
https://www.cybersecurity-insiders.com/after-2017-data-breach-equifax-aims-for-utmost-cloud-security-with-google-cloud-platform/ Fraai de meeste grote cloud jongens zijn allemaal genoemd.

Erik, punt 2 moet ik nogal eens uitvoeren omdat die zoekmachine wel fraaie resultaten geeft naar onderwerpen die je bjistaat maar waar je geen bron meer van hebt.
Je verhaal gaat over Google in het consumentendomein, het zijn prima opmerkingen en vragen.

Dat ze je locatie bijhouden is niet met een datalek naar boven gekomen maar door het gedrag met de applicaties die toonden iets te veel te weten. Met de GDPR er bij kwam de optie om het in te zien naar boven.
Die werd vervolgd met de vraag wat alle fitnesstrackers op dat platvorm dan zouden kunnen zien. Dat gaf een leuk vervolg zoals: https://www.security.nl/posting/572574/Pentagon+beperkt+gebruik+van+fitnesstrackers+met+gps-functie. Het punt: Je kunt veel achterhalen door het gedrag van een systeem en dan terugwerken.

Hou dat even vast: "Je kunt veel achterhalen door het gedrag van een systeem en dan terugwerken."

Als je in bedrijfsomgevingen met datakoppelingen werkt dan heb je nogal wat af te stemmen om het veilig en verantwoord te doen. Als je weet dat de interfaces tussen die systemen van elke leverancier een eigen methodiek voor afscherming hebben en je moet bij installatie bij de één enkel user en password opgeven dan weet je dat het terug te herleiden is. Geen eenrichting hash maar kwetsbaar op een locatie opgeslagen.
De hele werking van die koppeling kun je uitwerken en testen niet alleen op geslaagde doorgifte maar juist op de gevallen dat het niet door zou moeten gaan. De verassingen die je dan ziet zijn vaak verbijsterend.
Koppel dat aan managed service provider met rechten welke continue open staan en ….. . Het is gelukkig nog nooit gebeurt met die omgevingen die ik ken (al ben ik er niet zeker van).
Zolang het niet omvalt, niet het nieuws haalt, is de externe dienstverlener en het eigen management tevreden.

Het klopt anders wel, dat Google geen Microsoft producten gebruikt! En is ook een feit dat Google - mede daardoor - geen tot weinig problemen met de robuustheid en veiligheid van haar servers heeft. En als je enige weerlegging van de terechte kritiek op Microsoft het verwijt 'OS-bashing' is dan is dat een zwaktebod. De feiten liggen er immers en liegen niet!

Je maakt mij niet wijs dat bedrijven en instanties niet serieus aan het nadenken zijn over alternatieven voor Microsoft software, bij de shitload aan meldingen in de media over mal- en ransomware.

@Redactie: wanneer gaan jullie eens wat doen aan de trollen op security.nl? Een zinvolle discussie op basis van on-topic en steekhoudende argumenten is helaas onmogelijk.

@Redactie Terechte kritiek op Microsoft software gaan censureren? Dergelijke kritiek als off-topic en niet steekhoudend kwalificeren? Als 'OS-bashing'? Zeker in een draad die begint met "kritiek op gesloten propriety owned software" kan je kritiek verwachten. Vrijheid van meningsuiting, e.d.

Kijk even in de prijslijst van Google cloud en "SQL Server-databaseservices". Google is een commercieel bedrijf en als ze microsoft producten daarbij kunnen gebruiken zullen ze het niet laten, Je opmerking waarover bedrijven nadenken toont de complete misvatting. Vele denken erover naar de cloud te gaan en Azure is de hardste groeier. Dan is het uitbesteden van desktop functionaliteit ook inbegrepen. Het echte probleem dat onaangepaste gedrag in de eigen ICT. Je bevestigt dat.
In die markt blijft google achter, cijfers liegen niet: https://www.parkmycloud.com/blog/aws-vs-azure-vs-google-cloud-market-share/ De shitload van problemen met IOT is notoir, daar komt wetgeving uit omdat oss faalt,

@karma4 Dit laat toch niets aan duidelijkheid over:

"Google bans Microsoft Windows on office computers
Google will no longer allow staff to use Windows on their machines because of security fears, according to reports."

https://www.telegraph.co.uk/technology/google/7792685/Google-bans-Microsoft-Windows-on-office-computers.html

Wees je altijd terdege bewust van wie en wat je met je verwijzingen aanhaalt, want het venijn zit meestal in de staart:


Windows is zo goed als zeker een zinkend schip. De enige vraag is, is hoe lang het rustgevende vioolstrijkje op het dek van de Titanic nog gaat duren. Wanneer de weldoorvoedde ratten met diepe zakken zich gaan voordringen, of uit wanhoop overboord gaan springen, dan moet je vooral goed over jezelf en je geliefden blijven waken.

En via een paar opeenvolgende postings is ook deze draad weer ontaard in de genoegzaam bekende Linux/Mac OS tegenover Microsoft Windows controverse. En steeds in algemene zin. Niemand die echt eens teruggaat naar MS-DOS, het begin van het gehele verhaal en niet meer volledig aanwezig onder de command prompt nu, en eens even in finesses voorschotelen wil wat er schort aan het ontwerp van MS-DOS-Windows (ik ken het nog van Windows 98 en NT4 versus linux).

Kijk voor Brendanm Eich's in 10 dagen ontworpen JavaScript weten we de limieten uit de tijd voor HTML.
Voor PHP kennen we ook waarom sommigen de rode draad kwijtraken en het een wormendoos is met en zonder cheat-sheet.

Jodocus Oyevaer

" Windows is zo goed als zeker een zinkend schip. De enige vraag is, is hoe lang het rustgevende vioolstrijkje op het dek van de Titanic nog gaat duren "

Klopt niet helaas al heb je wel gelijk. Windows OS is veel te open. Gaan nog hele hoop HACKS aankomen.
Een hele hoop

Microsoft is echter zeker geen zinkend schip.
Het Microsoft OS windows 10 wordt nog altijd meer gebruikt en aangekocht op client niveau dan Mac computers en alle Linxu client OS samen. (Ik heb het niet over servers)
Ook qua revenue stijgen de inkomsten voor Microsoft nog elk jaar .

Ik draai geen windows meer nooit meer Mac en Linux hier.

Maar Microsoft en Windows 10 zijn nog lang niet uitgeteld verre van ....

Die algemene zin staat als een huis.
Dag in en dag uit worden er incidenten gemeld waar alleen windows bij is betrokken en het gaat om serieuze schade rapporten tot uitval van diensten. Dat zijn feiten die benoemd moeten kunnen worden zonder gezeik over bashen en controverses etc. Het is toch frappant te noemen dat het meest gebruikte serversystemen UNIX (clonen) met de kroonjuwelen oneindig veel veiliger zijn gebleken, terwijl ze veel meer waarde vertegenwoordigen dan een windows werkplek.

2e punt is dat het aantal kritieke cve's in het windows ecosysteem elke maand vele malen groter is en trager worden opgelost. Daarnaast blijkt ook nog eens het patch proces van windows vele malen problematische te zijn.
Dat zijn objectieve waarnemingen en tart elke logica om het werkende alternatief niet te willen zien.
In mijn optiek riekt dit naar corruptie binnen het MS oligopolie. Men verdient meer aan patchen van windows dan aan patchen van Linux om maar iets te noemen. Of te wel men stuurt op geld verdienen en niet op security.