Blijf maar janken. Je hebt net met de appathon meegemaakt hoe dat woordgebruik ingezet wordt om kritiek bij een aanbesteding monddood te krijgen.
Het moest aanbesteed worden en kririek op de aanbesteding is ongewenst en inhoudelijke kritiek op de functionaliteit is ongewenst.
Eenvoudig voor elkaar te ktijgen als je evangelisten kan benutten.

Dit soort berichten komen eens in de zoveel jaar naar buiten. Open standaarden dit, meer vrije software gebruiken dat. Het zijn wederom mooie woorden, maar tot nu toe blijkt het in de praktijk niet te gebeuren.

Apps als DigiD app en Debat Direct [0] worden bijvoorbeeld niet openbaar gemaakt om 'veiligheidsredenen'. Het zou mij niet verbazen als alle software die de overheid gaat gebruiken spontaan onder deze uitzondering gaat vallen. We kunnen fraudeurs toch niet zomaar inzage geven in een software systeem als SyRI? Misschien ben ik te pessimistisch, maar tot ik de software repositories zie geloof ik het niet.

[0] https://tweakers.net/nieuws/164064/tweede-kamer-hoeft-broncode-van-debat-direct-app-niet-openbaar-te-maken.html

Brief van de staatssecretaris:

Beleidslijn: open, tenzij
Ik sta achter het principe dat software die met publieke middelen is ontwikkeld, zoveel mogelijk aan de samenleving wordt teruggegeven. Het publiceren van de broncode komt ten goede aan algemene belangen, zoals minder verspilling, innovatie, meer economische bedrijvigheid, transparantie en informatieveiligheid. Tegelijkertijd is er nog weinig praktijkervaring met het vrijgeven van de broncode. Ook is voor een overheidsorganisatie niet altijd duidelijk welke kosten met het vrijgeven gemoeid zijn en of de baten zoals hiervoor genoemd zich daadwerkelijk manifesteren.

Het uitgangspunt van deze brief is dan ook: «open, tenzij». Mijn oproep aan overheden is om de broncode vrij te geven, tenzij er gegronde redenen zijn om het niet te doen, bijvoorbeeld als de belangen van nationale of openbare veiligheid zich daartegen verzetten of de benodigde vertrouwelijke werkwijze van de overheid, denk aan opsporing en toezicht,
worden geschaad. Dit moet goed doordacht en uitgewerkt zijn.

Daarnaast dienen overheidsorganisaties per geval in te schatten of de maatschappelijke baten van openstelling ten minste opwegen tegen de kosten van het vrijgeven van de broncode. Het vrijgeven van de bestaande code vraagt behoorlijk wat investeringen. In dat geval kan het raadzamer zijn om open source vooral in te zetten bij het bouwen van nieuwe systemen. Bij het afwegen van de kosten en baten is het verder van belang om scherp te hebben welke doelen en baten worden beoogd.

Daarnaast zal bij elk voornemen tot vrijgeven bezien moeten worden hoe dit zich verhoudt tot de Wet markt en overheid. Deze wet is in beginsel van toepassing als een bestuursorgaan economische activiteiten verricht. Hiervan kan bij het beschikbaar stellen van software en het vrijgeven van de broncode sprake zijn. Dit is het geval als de software wordt vrijgegeven door een bestuursorgaan. De Wet markt en overheid is niet van toepassing als anderen dan bestuursorganen (bijv. een open source bedrijf) de broncode vrijgeven.

https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2020Z06975&did=2020D14886

De overheid is geen eigenaar van de broncode die ze door de externe leverancier laten ontwikkelen, Zie Brp Speer UWV verhalen. Voor gemeentelijke software is het belang dat elke gemeente het wiel zelf opnieuw uitvind en delen inkoopt te groot.
De aanbestedende partij en degene die het uitvoert hebben een gemeenschappelijk belang bij niet te veel openheid. Vrij standaard in dat soort relaties het is elders niet anders.

Ja, van puur geluk! Mijn weekend kan niet meer stuk!

De faals: https://www.rijksoverheid.nl/actueel/nieuws/2017/11/29/broncode-programmatuur-operatie-basisregistratie-personen-openbaar dan wel https://www.nu.nl/internet/1926399/rijksoverheid-gaat-werken-met-open-source-software.html , https://zoek.officielebekendmakingen.nl/kst-26643-148.html En vervolgens …. blijf maar janken. Het toont je verslaving... helaas. Ik zou liever iets zien voor gedegen robuuste informatievoorziening.

Dank je voor deze aanvullende voorbeelden van succesvol open source gebruik!

Ik weet niet of je het doorhebt, ze faalden massaal in de informatievoorziening. Project geslaagd -> onbruikbaar afgedankt.

Naah... Politiek en om politieke redenen.

ik weet niet of JIJ het door hebt; als deze dingen niet openbaar werden gemaakt, ging de faal nu nog door en koste het ons allemaal (incluis jouw) veel belasting centen!


daglicht: zij die het niet verdragen kunnen zijn de werkelijke vampieren in de samenleving!

Er zijn natuurlijk meerdere lijnen waarlangs het project gestopt al gestopt had kunnen / moeten worden.
Een daarvan kan de openbare inkijk in de software zijn.
Een andere kan de openbare inkijk in foute keuzes rondom software zijn.
Een andere kan de openbare inkijk in projecten/software fout starten zijn.
Een andere kan de openbare inkijk in foute software/projecten starten zijn.
Een andere kan de openbare inkijk in foute beslissers zijn.
Een andere kan de openbare inkijk in fouten zijn maar als beslissers de cardinale fouten van je voorgangers niet willen kennen / toepassen.
Een andere kan zijn als teamleider van de minister fouten niet daadwerkelijk tijdig aan de buitenwereld openbaren maar net zo lang wachten totdat de buitenwereld aan de bel trekt en dan maar even je aandacht aan op wilt richten, zodat het ergens in de stapel to-do's past om te kunnen zeggen, toen zag ik dat toch echt anders en ik had echt geen last van visie.
enzovoorts.

Voel je puur geluk omdat niemand misschien nog door kan hebben wat hierna volgt?
Zolas alles lekker uitbesteden aan publiekelijk beschikbare zichzelf oneindig herhalende keuze mechnaismen?
Zoals dat soort systemen al nauwelijks strikt en exacte reconstrueerbare info situaties creeren waarvan je alleen met een dikke vinger de fout op de kwetsbare plek kan leggen?
Of zat je met hete hangijzers waar je al jaren lang niet mee aan de slag kon gaan omdat de software niet vrij was?

Het gebruik van OpenStandaarden door overheden en gesubsidieerde instellingen in de communicatie naar burgers en onderling, is wettelijk verplicht !
Zie hiervoor de websites van de rijksoverheid, Logius, Forumstandaardisatie, enz......

Dat komt door de auteursrechten.
In België is het beter geregeld, daar geldt dat software ook data is en dus in principe openbaar,wanneer het over software van de overheid gaat.

Ter info: OpenSource hoeft niet gratis te zijn en zonder licentie rechten mag je ook niet aanpassen, anders dan op je eigen PC.
Het gaat alleen om de verkrijgbaarheid van de broncode.
Het kan wel helpen, om niet steeds het wiel uit te vinden.......

Open standaarden is heel wat anders dan open source. Zie bijvoorbeeld Stuf Digikoppeling en de basisregistratie. Met stuf is er iets dusdanig complex neergezet dat er en afhankelijkheid van externe leveranciers zoals Centric opgelegd is.

Nou nee. Neem Logius forumstandaardisatie de interfaces, open en in beheer bij de overheid, zijn dusdanig complex dat alleen extern leveranciers dat nog kunnen opbrengen. Omdat die het niet voor niets doen ontstaat er een gesloten markt voor de ca 300 gemeentes. Er is open voor gekozen de ICT buiten de deur te zetten wegens het te gesloten gedrag. Die keus valt moeilijk terug te draaien het is niet makkelijk alle lokale koninkrijkjes op te heffen en er iets naders neer te zetten. De ervaringen met de ICT politie zijn daar een mooi voorbeeld van.


Ik heb heel goed daar dat het falen met open source constant doorgaat gezien de stroom van mislukte overheidsprojecten. Hoeveel wil er van hebben? Schenken CBR UWV BRP Rechtspraak Het is lastig om iets te vinden wat wel echt goed gaat.

Last van je emotie tijdens de corona crisis? Als je hierom al zit te janken, dan heb je misschien last van een kleine emotionele instabiliteit.

Dit is min of meer al jaren het beleid. Enige nadeel is, de meeste software die ze nodig hebben, is vaak geen opensource.

Maar het maakt hierin geen verschil tussen open source of close source software. Er zal hierin dus geen verbetering optreden.

Dan ben je emotioneel onstabiel.

Tja, misschien, misschien, misschien zijn ze alle gemeuk van Microshaft spuugzat en hebben ze wijselijk besloten. Mijn water zegt me echter het tegenovergestelde.

Hebben we die software ook nodig?

Fun fact: Ik heb eens gevraagd om de broncode van een applicatie die gebruikt wordt in de communicatie tussen overheid en burgers bij Logius (DigiD app). Nou, die krijg je dus niet. Zoals ik schreef: het is allemaal mooi op papier, maar als puntje bij paaltje komt gaat het gewoon niet gebeuren. Die broncode krijg je niet, ook niet als je heel hard 'wettelijke verplichting' of 'open, tenzij' gaat roept.

En voor iemand de 'veiligheidsredenen' gaat noemen, lees dan eerst eens wat Kerckhoffs's principle betekent. De veiligheid van van software (zoals de DigiD app) mag NIET afhangen van het feit dat de broncode gesloten blijft. Ook zal het 'app kopieën' niet helpen: daar is de walled garden van de Google Play Store/Apple App Store en in het algemeen een vertrouwd installatie kanaal voor. Als je een kloon wilt maken om gegevens te phishing heb je de broncode ook helemaal niet nodig: je hoeft alleen de interface na te maken. Echter is 'voor de veiligheid' een vrij eenvoudige reden om op te geven om broncode niet openbaar te maken, je hoeft dat immers toch niet te onderbouwen met argumenten. Het moet dus ook geen verassing zijn dat 'veiligheid' een van de expliciet genoemde uitzonderingen is bij deze 'commitment'.

Ik hoop zo dat het dit keer geen loze woorden zijn, maar ik vrees het ergste.

Zie: https://nl.wikipedia.org/wiki/Motie-Vendrik. De motie is van 2002 (mede een initiatief van Arjen Kamphuis RIP). Sindsdien zijn er allerlei praatgroepjes geweest die voor tonnen aan dure lunches en heisessies hebben verdampt en tot op de dag van vandaag lukt het de overheid nog niet eens om M$ Office te verlaten of ook maar by default het open document format te gebruiken.

Nobele woorden van meneer Knops, maar ik vrees dat het bij woorden blijft, hoewel ik het net als jij, heel graag anders zou willen zien.

Wat heeft de broncode te maken met een OpenStandaard?
OpenSource gaat over de beschikbaarheid van de broncode,
OpenStandaard gaat over afspraken,
OpenData gaat over de openbaarheid van gegevens.
Dit zijn dus drie verschillende dingen !

Precies, Als ik mij goed herinner is er geen enkele verplichting voor de overheid om open source software te gebruiken. Ook geen nee, tenzij beleid.

Voor open standaarden geld wel een nee, tenzij beleid en open data is nog steeds een onmogelijkheid in dit land, het is er , maar het is nog lang niet gebruikelijk. Onze overheid blijft moeite hebben om de burgers open en transparant te informeren.

Ik verbaas me nog steeds dat je moet wobben om informatie te krijgen, terwijl alles openbaar te maken zou zijn. Waar niet? En waarom zoveel barrières bij een wob? Waarom nog steeds bij veel overheidsinstanties verplicht snailmail gebruiken?

Ik zie inderdaad dat ik je opmerking verkeerd gelezen heb. Neemt niet weg dat er genoeg open standaarden zijn die hier gebruikt hadden kunnen worden, in plaats van een gesloten app: Gebruikers naam en wachtwoord, TOTP/HOTP voor 2FA, WebAuthn of Client Certificates voor hogere beveiligingsniveaus. Helaas lijkt het Forum Standaardisatie daar, in tegenstelling tot de experts van het NCSC, nog niet in geïnteresseerd.

E-mail kent geen leesbevestiging en geen ontvangstbevestiging, je kunt hooguit zien dat het op een computer is gelezen, maar waar die computer staat en wie er achter zit is onduidelijk, dit in tegenstelling tot een brievenbus.
Daarnaast kennen we wel het briefgeheim, maar dat geldt alleen voor papier en niet voor elektronische berichten.
Aan wetgeving hierover wordt gewerkt, maar zoals gewoonlijk loopt de wetgeving vele jaren achter op de techniek..........

Ga het eerst maar eens de VGN wijsmaken. Deze vereniging van Nederlandse gemeenten is een schoothondje van Microsoft.
Beleidsmedewerkers krijgen regelmatig reisjes aangeboden om zogenaamd in de keuken te kijken hoe fantastisch Microsoft werkt aan hun spagaat probleem. Letterlijke MS tekst: "gebruikers wensen een productiviteits- en communicatieplatform om in- en extern snel en effectief te kunnen samenwerken. Bij voorkeur op ieder device en vanaf elke locatie. Dit betekent voor security; het oude kasteelprincipe (oftewel perimeter beveiliging) brokkelt af en de organisatie wordt blootgesteld aan nieuwe informatiebeveiligingsrisico’s."
Die tekst zou zo uit de open source koker kunnen komen. Echter, het probleem wat MS hier aankaart is exact van toepassing op het MS kasteel. Dat is nog niet tot de VGN doorgedrongen of men is corrupt.
Men is er weer ingetrapt en denkt een oplossing te hebben op ieder device (jaja ms tekst) vanaf elke locatie.
Kan iemand dit nieuwe project nu dan stoppen of is men weer te laat?: https://pulse.microsoft.com/nl-nl/work-productivity-nl-nl/government-nl-nl/fa1-vng-en-microsoft-werken-samen-aan-ontwikkeling-moderne-veilige-overheidswerkplek/

Je probeert nu al met technische oplossingen bezig, terwijl digid hele andere requiments heeft.

Onderwater is het ook gewoon een TOTP, maar je kunt niet zomaar je eigenlijk interface hiervoor bouwen. Ik denk persoonlijk met goede redenen. Daarnaast webAuthn, is veel te nieuw en staat nog in het begin van de acceptatie en heeft veel afhankelijkheden. . Apple ondersteund het bijvoorbeeld pas sinds korts. Client Certificates, is zwaar gebruiksvriendelijk.

Dus er is een goede redenen voor de huidige DigiD oplossing.

Zo ver ik het volg hangen de gemeentes met de open standaarden vast aan leveranciers zoals Centric.
Die komt met alle open source over de brug waarna er een spagaat ontstaat dat zelfs belsissers iets doorkrijgen. Een opmerking dat de data in de software zit, geeft aan hoe ver het onbegrip van informatieverwerking weggezakt is.
Tja dat soort evangelisten die niet verder kunnen kijken dan four legs good two legs bad daar moet je het niet van hebben.

@karma4 & @The FOSS,

Verduidelijken gebeurt vaak het best aan de hand van een concreet voorbeeldje. Vooruit dan maar.

Open source software methoden worden vaak succesvol ingezet waar propriety software het laat afweten.
Bijvoorbeeld bij symlink race kwetsbaarheden met kans op EoP aanvallen.
Daar heeft open source vaak wel beveiligingsmethoden waar Google Chrome op Windows 10
bijvoorbeeld het nogal eens finaal laat afweten (juist ja ook allerlei AV-oplossingen dus).

Ik begrijp dus het aanvankelijk enthousiasme van The FOSS,
maar moet anderszins zijn vreugde weer temperen met de hierboven aangehaalde
en genoemde "symlink race kwetsbaarheid".

Daaraan hebben velen sinds 2013 nog niets of bitter weinig gedaan.
Mooie praat, maar te weinig wol.

Wat vind je in zo'n geval belangrijker je Windows OS- of je browser-security?

Er kon naturrlijk best policy aanpassingen via allerlei security hardening maatregelen
(security headers, link content security hardening enz.) worden ingezet.
Maar nog steeds blijft het woord gewillig maar het digitale vlees blijft zwak.
Daar zit men dus veeelal op, op het digitale achterwerk ;) (iron. bedoeld).
Ook dus van overheidswege, denk ik?

luntrus

Er zijn ook maar zeer weinig leveranciers die alles onder 1 stack kunnen aanbieden en beheren.

Als jij een vervanging kan adviseren, voor Azure AD, Intune, Auto pilote, Office 365, Teams, Sharepoint, ATP? Welke ik natuurlijk ook niet zelf aan elkaar hoeft te knutselen?

Voor de KA desktop, lopen andere leveranciers gewoon jaren achter.

Het is niet voor niets, dat de overheid zegt, dat bij gelijke geschiktheid OpenSource de voorkeur heeft.
Zodra één van beiden beter is dan de ander is het duidelijk, maar hoe e.e.a. bepaald wordt is aan de beslissers, dus........

Bij gelijke geschiktheid blijkt een onzin begrip. Je moet het veel meer zien als een stip aan de horizon waar je naar toe wil.
LIbreoffice is in die zin per definitie niet gelijkwaardig omdat het maar niet wil lukken met het default bestandsformaat van MSOffice. Na 18 jaar stikt het nog steeds van de leveranciersspecifieke formaten op websites van de overheid, om het maar niet over intern te hebben. Gemeente Ede is er volgens mij mee gestopt door de onwil van externen om met een open standaard te communiceren.
Er zijn te veel haviken die geld verdien aan de keuze voor windows en security who cares. Daarnaast is er nog nooit iemand ontslagen voor het gebruik van windows zelfs als alle servers zijn versleuteld mag men gewoon verder.
Ga je voor iets anders dan mag er ook niets verkeerd gaan want de haviken zitten er boven op met nepnieuws, ondanks dat Microsoft producten elke maand verkeerd gaan. Je kan ook verwachten dat MS een sniffer in het netwerk eist op basis van oude contracten want gebruik van Libreoffice dat geloven en willen ze niet. Ze gaan vinden dat jij wel ergens niet in compliance bent want MS licenties zijn ondoorgrondelijk.
Daarom is het ook zo fijn als je geen licenties meer hoeft te managen. Geen Exchange die zich zelf uit zet! en wil opwaarderen naar een duurdere licentie omdat max storage is bereikt. Scheelt een hoop tijd en geld en ergenis.
Kortom je bent er niet zo maar van af en een hybrideoplossing is gedoemd om te mislukken.
Nederlan bevrijdt je zelf van deze Amerikaanse marketing machine.

Het enige wat zou kunnen helpen om dit oligopolie te doorbreken is een windowsvirus dat alle bestanden verwijderd incl de backup. Dit is nog niet gebeurd omdat criminelen geld willen verdienen met ontsleutelen waar wij weer voor opdraaien. Mocht het wel wereldwijd gebeuren dan zal er waarschijnlijk een OUTbreak team klaarstaan onder leiding van Microsoft om alles weer te herstellen zo als het was en zijn we weer terug bij af en roept er weer iemand misschien moeten we eens open standaarden gaan verplichten met sancties.

@souplost

Maar er zijn wel degelijk mitigatie-oplossingen voorhanden, bijvoorbeeld bij JavaScript: https://stackoverflow.com/questions/338110/avoiding-a-javascript-race-condition
en deze https://medium.com/@slavik57/async-race-conditions-in-javascript-526f6ed80665

Het mooiste zou zijn als men zou gaan inzien dat security mitigation prioriteit zou moeten hebben boven andere zaken.

Dus niet het koste wat het kost verdedigen van gevestigde belangen van aandeelhouders en durf-kapitalisten,
samen met de daarmee collaborerende krachten natuurlijk. De gehandhaafde status-quo in digi-code-land.

Voor de smeer likt de code-kat wederom steeds weer de kandeleer!
Zelfs elke oppositie tussen Google en MS ontbreekt in zulke gevallen,
Ze bijten elkander dan zeker niet deze Big Corporations.
De tussenlaag wordt eerder weggevaagd, opgekocht of het moeras in gefietst.

Je hoopt op competitie en innovatie, dat kon winnen, maar tevergeefs.
Protectionisme en vooral streven naar wereldhegemonie - total domination is the name of the game.

Backward compatibilty issues ook zoiets.
Ik zeg nogmaals""Wat is u liever een OS of een goedwerkende veilige browser op datzelfde OS?".

De Stones zongen er all over: "You can't always get what you want".
End of story but still without a happy ending.

luntrus

Daar kan ik op hun website niets van ontdekken.
Heb je een link van een file, die niet (tevens) in een OpenStandaard wordt aangeboden?
Een overheid die zich niet aan de (eigen) regels houdt, kan dit m.i. ook niet van de burgers verwachten.
Daar was een voorstel van de PvdA (motie van Astrid Oosenbrug), het lag al bij de eerste-kamer, maar het wel erg stil daarover, de laatste 3 jaar..........

Vreemde redenatie hier. Als de overheid iets ,op welk terrein dan ook, iets willen regelen ,vallen de reaguurders hier over elkaar heen om te zeggen hoe vreselijk dat is en NU willen jullie dat de overheid opensource gaat verplichten? Oh ja, het gaat nu om jullie speeltje, opensource!

@ron625,

We moeten dan wel even terug in de tijd gaan om te komen tot een moment,
waar zaken als race condities nog gewoon openlijk bespreekbaar waren
en aangedragen werden vanuit de linux resource-hacker-wereld.

Zonder de interferentie van de decisionmakers met voorkeuren voor de dozenschuivers uit de Big Global IT hoek,
die nog niet zo uniek op de voorgrond stonden en een totale dominantie hadden verworven.
Ze waren al wel bezig zoals de lieden van IBM, maar nog niet zo uitgesproken.
Het werd eigenlijk pas bij de grote massa's "ingevoerd" vooraleer het bij hen "ingegoten" zou worden. (iron.).

We kunnen inmiddels vaststellen, dat de heer B. Gates bovenal een giga-dozenschuiver en verkoper bleek te zijn.
Dat van iets dat hij ook maar verworven had, net als al die anderen, die als eerdere telefoonfluitjeshackers waren ingestapt
(Apple, Microsoft, McAfee met uit hackerskringen geboren, maar niet van vrije gelovigen gebleven software).

Dit was 2003 vanuit de Hackers Hut van de Techn. Universiteit Eindhoven al bekend:
->https://www.win.tue.nl/~aeb/linux/hh/hh-9.html
Antiek weten, dit alles, maar nog steeds boeiend en nog steeds actueel helaas.

Daar vind je ook de klassiek geworden H00lyshit exploit.
Zeventien jaar verder en we zitten nog steeds in dezelfde open source versus propriety closed source spagaat.

Leuk als we die even af konden doen , die spagaat dan, om gewoon plaats te kunnen nemen om de echte veiligheidsdiscussie te kunnen aangaan (iron.). Daar snakt ondergetekende nu naar. Wie niet eigenlijk?

luntrus

Mijn brievenbus kens geen leesbevestiging, noch een ontvangstbevestiging. In het laatste geval zou je dit kunnen waarborgen door aangetekend te versturen, maar ik ben dit nog niet tegen gekomen als verplichting bij het aanvragen van een WOB verzoek. Mijn theorie is dat het versturen van een brief slechts als barrière gebruikt wordt om burgers te demotiveren om een WOB verzoek in te dienen.

Principe van Auguste Kerckhoffs ... je bent mij voor ;-) Mag ik dit een beetje aanvullen:
Grappig detail: Auguste Kerckhoffs is geboren in Nuth (Zuid Limburg), en Wikipedia is open source.

Een voorbeeld van "open source" in combinatie met security en cryptografie is Signal. Daarvoor is steeds meer aandacht nadat WhatsApp door Facebook is overgenomen, dus het voorziet in een behoefte. Gedreven door afnemend vertrouwen in WhatsApp.

De Appathon laat zien dat er toch ook bij de overheid aandacht is voor "open source" als het gaat om het vertrouwen in een software product: alleen als de broncode openbaar is kan je een softwareproduct onderzoeken en eventueel vertrouwen. KPMG heeft de broncode van bijna alle Corona-Apps onderzocht:
https://www.security.nl/posting/653153/Securitytest+van+%27corona-apps%27+levert+meerdere+kwetsbaarheden+op
Doordat VWS eiste dat de broncode "open source" moest zijn kwamen deze kwetsbaarheden aan het licht.
Dus de volgorde is een 1-2-3tje:
1. open source broncode,
2. onderzoek van deze broncode
3. en bij goede resultaten daarvan pas vertrouwen in de software.

Deze Corona-crisis is een gamechanger op diverse gebieden.
"Outsourcen" is niet meer zo vanzelfsprekend, we maken nu ook in Nederland weer zelf mondkapjes in eigen beheer.
VWS stelt als eis aan een te ontwikkelen Corona-App 2.0 dat de broncode open source is.
https://www.security.nl/posting/653533/Overheid+laat+experts+nieuwe%2C+open+source+corona-app+ontwikkelen

Dat vertrouwen blijft dus belangrijk. We krijgen steeds meer een hekel aan closed-source aspecten zoals telemetry, backdoors en vendor-lockin.

Ik ben zo'n open source fetisjist en gebruik zelf voor 98% open source applicaties (vooral driver ed. zijn in mijn geval closed source) en ik begrijp heel goed dat mijn situatie nauwelijks te vergelijken is met de situatie van een overheidsinstantie.

Ik vind in principe een open-source-tenzij strategie prima, maar ik zou wel mee inzet willen zien om daadwerkelijk open source te gebruiken.

Ik zou ook meer inzet willen zien van de nationale en Europese overheden om de afhankelijkheden van met name de Amerikaanse software bedrijven in te perken. In principe heeft een bedrijf als Microsoft nu een (machts)positie om te doen en te vragen wat ze willen en er is geen overheidsinstantie die ze de vinger kan geven en ze staan simpelweg met de rug tegen de muur. Noem het legale ransomware.

Zeg niet dat dit soort dingen niet gebeuren, Oracle eet een vet belegde boterham er van.

Pandoc: https://pandoc.org/ En leveranciers van gesloten formaten moeten worden gedwongen om fatsoenlijke specificaties en zelfs libraries te leveren voor conversie van hun bestandsformaten.


Dat is dus inderdaad schandalig!

Overheid heeft een soort van flexibele scoop, politieke kronkel hier, politieke kronkel daar. Dan komen er nog "slimme" ambtenaren, die hun plasje doen waardoor het doel en de functie voorbijgeschoten wordt. Dus kun je het falen koppelen aan Open-Source; nee natuurlijk niet 80% is zeg maar "ambtsmisbruik", 20% falende begeleiding/implementatie. Functioneel heb ik echter sinds 2008 niet meer een Open-Source maar ook Closed-Source zien falen op technisch -niet- kunnen.

Opvallend, dat degene met de grootste mond om privacy en hun privé rechten, het hardste brullen om anderen te dwingen om iets te doen, als het om hun speeltje gaat!

Als we het over server side processing hebben waar het echte werk op gebeurt. Gewoonlijk Linux Apache Mysql PHP LAMP.
Doe daar kubernetes Docker met wat GIT bij in een continous deployment met low code in Agile teams team leads en chapter leads met full stack approaches en devops dan heb je denk ik smart de star benadering beschreven.
Blijft mijn ergernis …. het is open source wat de dienstverlener in de NDA heeft staan. Je mag geen kritiek hebben.

Maar deze flaws zijn nog steeds live & kicking: https://github.com/flsf/linux-exp-suggester
Exploit name eg. h00lyshit.

D.w.z. nooit aan te beginnen vanwege "het ontzaglijke gerammel en geklapper" dat het geeft bij uitvoering van de exploit.
Trouwens we richten ons op remedie van, niet het veroorzaken van. ;)

Zie de code, die zich bevindt op een pentester repositorium hier:
https://www.exploit-db.com/exploits/2013 (credit source: offsecu linux kernel security)

Gaan we nu echt mensen opleiden met werkelijk oog voor en inzicht in kwetsbaarheden
en de daaruit volgende juiste security mitigatie of.....moeten ze liever toch weer hun mond houden?

Zijn hun inzichten verspilde moeite vanwege dozenschuivers en andere belanghebbenden van het handhaven van de status-quo als profiteurs van de grote massa van de "dumbed down" in onze vnml. "getrainde aapjes" wereld?

Uit een draadje als de bovenstaande blijkt dus wel weer dat de bestaande discrepantie vrijwel niet te doorbreken valt.
Je moet ook steeds verder zoeken naar info voor gedegen argumentatie.

Veel is voorgoed weggestopt of getraineerd en veel relevante info resideert in bijvoorbeeld slechts in online archieven.
(-archive.is). De (openstaande) vragen blijven er echter voortdurend, net als PHP en JavaScript. (iron.).

luntrus

Mis ik de grap?
Datum: Oct 20 2014, 6 years ago ...
Kernel 2.6
Serieus? versie 18.04 heeft als kernel al 4.15 ... time flies ...

De gemiste grap is dat deep-symlink-race-condition flaws nog steeds operationele systemen parten kunnen spelen.
Vele av oplossingen kunnen problemen opleveren bij Windows 10 onder meer.
Wat kon het eerst starten de veilige toepassing of de malcode?

Recent weer in het nieuws gekomen, dit al langer optredend probleem.

Het historisch overzicht was om aan te geven, waar deze probleempjes het eerst werden opgemerkt.

Waar het ene OS is gepatcht is het andere dat nog niet vanzelfsprekend, zeker niet als het locked-in is.
Locked-in wat een "rot term" is dat zo de laatste weken niet geworden, maar dat is another kettle-of-fish (no PHISH).

luntrus

Als ik jou was zou ik eerst wat aan je Nederlands gaan doen.

Inderdaad onderbelicht. Ik zag hem elders goed uitgelegd waar het zo eenvoudig mis gaat.
Problemen in de gebeurtenissen acties en reacties over de tijd. Kom je er op het goed moment tussen dan …..
Het lijkt me dat de enige opties is dat actie-reactie altijd in de zelfde security context loopt met daarbij duidelijk gescheiden security contexts voor een bepaalde functionaliteit.

@karma4,

Voorbeeldje - Lees voor javascript: https://medium.com/@slavik57/async-race-conditions-in-javascript-526f6ed80665

Aan de vruchten kent men de boom a.k.a. aan het script kent men de code of de codeur(s).
Check uw inline scripts (source viewers, scanners, fuzzers).

Moeilijker is e.e.a. vast te stellen bij locked-in propriety code,
maar ook Free Software is er okk niet immer vrij van.

Ergo. Onderzoek alle code en behoudt de goede of betere code in veel gevallen.
Vertouw vooral op G*d, maar houdt ondanks dat toch steeds uw code op slot
(via obfuscatie bijvoorbeeld en added security layers).

luntrus

Je mist niks is allemaal opgelost sinds glibc versie?

Je kunt JavaScript code onderzoeken op openstaande gerapporteerde gebreken, op de dichtheid van defecten per coderegel, op fan-in fan-out, op coupling, op cyclomatische complexiteit, via Halstead complexiteit, open statische en dynamische analyse. In hoeverre voldoend aan CISQ en AEP en McCabe standaarden. Of de code kwaliteit en de stijl ervan laten beoordelen door derden.

O.a. via Shannon entropy kun je code-onderscheid maken tussen veilige en kwaadaardige code. Javascript Dichtheid Score voor grote blokken gecodeerde content, is kenmerkend voor kwaadaardige code. (minificatie en gebruik van bepaalde tekens (){}). Ook kan men bepaalde bedreigingen en afwijkingen zoeken via specifieke reguliere expressies ((|%3E) bijvoorbeeld met modifiers i en x aan het eind, samen met een detectie ratio, om alle tags op die wijze te kunnen checken.

Er is een waarde te vergelijken via Script Dichtheid, Entropie, Obfuscatie Regex Matches, aantal onderlinge links en dat produceert samen een lagere score bij onverdachte code dan bij verdachte en kwaadaardige code. Info bron o.a. Zscaler ThreatLabz

Hoe zit dat bij closed-in source. Wordt locked-in code ook zo doorgespit?

luntrus

Als het testen bij de gebruikers - afnemende organisaties goed gedaan wordt dan wordt dat behoorlijk doorlopen.
Hier krijg je snel een budget probleem een probleem van ongewenste geconstateerde problemen. Zeer ergerlijk als het verkoopverhaal heel andere verwachtingen bij de budgethouders voorgesteld heeft. Je raakte mijn frustratiepunt.

Ik heb een tijdje bij zo'n closed source firma gewerkt. Het antwoord is nee. Te weinig eyeballs . Features zijn het allerbelangrijkst want dat levert geld op. Als er iets mis gaat kan je altijd nog naar anderen wijzen.

logisch.

Laat men dan zijn of haar bekertje koffie eens eventjes neerzetten en op zoek gaan, lieve mensen.

We weten allemaal dat een budgethouder geen code gaat doorspitten met behulp van reguliere expressies op tags bijvoorbeeld. Hij of zij zal ook niet blij zijn als leden van zijn/haar IT staff dat gaan doen, ondankshet feit,
dat het af en toe hard nodig is en je veel bitcointjes kan schelen als het erop aankomt.

Slimmerikjes worden overal "weggekeken", want zij veroorzaken rimpelingen binnen het oppervlak van het "graaicircus".
Maar we hebben ze wel broodnodig als een soort hack-out-of-the-box-security-cyborg-defense-force.

Anders wordt alles onder multinational graainiveau als thans "overcompleet" afgeserveerd. Dag MKB bijvoorbeeld -
gaat u maar lekker verder met PHP en uw gelikte en onveilige CMS-platformpje. Amazon dendert wel door,
hoeveel miljard extra nu tijdens dit COVID-19 seizoen alweer?

Zonder bepaalde betaalde research-autisten worden bepaalde verbanden niet opgemerkt of bepaalde krenten niet uit de code-pap gevist. Je wilt toch niet dat alleen cybercriminelen deze onveiligheid ontdekken en ten gelde gaan maken?

J.O.

Wat heeft deze oratie met Netherlands commits to Free Software by default te maken?

Dank je. En nee, roepen dat iets open source is laat de hele ketenafhankelijkheid niet zien. Juist met een keten onder je handen kan je daar wel wat mee.

Free software is juist ontstaan om niet afh van een partij of keten te willen zijn, maar om voort te borduren op wat er al is gebouwd. Dat heet Stand On The Shoulders Of Others! Jij wil dat duidelijk niet. Je bent of niet de slimmerd die J.O. bedoeld of je verdient aan closed source en denkt dat nog steeds te kunnen uitbuiten door je klant gevangen te houden.

@souplost

Voor sommigen is het toch zo moeilijk om in te zien. Die moet je met een specifiek voorbeeld met hun neus op de feiten drukken, anders willen ze het nog niet zien en draaien je boodschap juist om.
En al de andere code-"sheople" sukkelen wederom in. Niet allemaal, getuige de reactie's.

Voorbeeldje van een giant hole was aanwezig daarin en wel deze dll vanaf 1984 tot vrij recent - ATMF.DLL.
Je gelooft het aanvankelijk niet, he. Tot je je erin verdiept. En dan nog denk je. Hoe is het in vredesnaam mogelijk?

Lees: https://googleprojectzero.blogspot.com/2015/07/one-font-vulnerability-to-rule-them-all.html ATMF.DLL

Wat willen we dan eigenlijk? Gebeten worden door de hond of de kat (in dit geval de browser i.e. client
of het operationeel systeem- Windhoos in dit geval?).
Op ouder OS dan Windows 10 voor beveiliging alleen te hernoemen,
zie: https://www.fileinspect.com/fileinfo/atmfd-dll/

Leverde hier een gelockte draad op: https://answers.microsoft.com/en-us/insider/forum/insider_wintp-insider_devices-insiderplat_pc/resolved-bsod-on-windows-10-build-9879/895ad39d-8f1d-40b5-8ab4-56a5784a647e

Bij free non-propriety software had dit niet geduurd totdat men er niet meer onderuit kon
en het op zeer grote schaal grof werd misbruikt. Adobe, hoeveel deuken kon de reputatie ervan aan?
Het is als een dun laagje "chromium"op dit buggy schroot-OS.

Een fijne en gezonde week voor uw allen, lieve vrienden.

J.O.

@J.O.
"Issue appears to be back" Couldn't boot into system at all anymore
Toen werd het maar ge-locked. Steeds hetzelfde verhaal.
Een giant hole vanaf 1984 tot vrij recent. Hoe is het mogelijk. Die moet aan de NSA zijn verkocht.
Ze mogen blij zijn dat ze de beschikking hebben over het dunne laagje chromium.
Toch weer open source die ze uit de brand helpt.

@souplost,

Ja en dat is het frustrerende waar het closed-propriety software betreft.
Je weet vaak niet direct waar je het aan wijten moet (of aan te danken hebt) wanneer iets niet werkt.

Voorbeeldje bij het bekijken van een video op het banned.video portaal:
error kan worden opgeheven met:
Hier was dus het dunne laagje de oorzaak.

J.O.

Maar je zult je ook op de hoogte moeten stellen van de documentatie.
Hoe kun je reageren op EventBot malware bevindingen, als je dit bijvoorbeeld niet hebt gelezen,
namelijk waarom e.e.a. bij google android voor trojan bots niet wordt gecheckt?

https://linux.die.net/man/1/file

Het voordeel van Windows kernel en propriety android leren te midden van linux-mannetjes,
zoals ik dat eens moest doen. De lessen daar opgedaan, vergeet je nimmer.

Het is een manier van ergens naar kijken, dat je niet meer kunt afleren.

luntrus