Wat maakt open-source software veilig?
Er zijn verschillende redenen waarom open-source software betere systeem en netwerk security biedt, maar het grote publiek schijnt niet te begrijpen waarom dit zo is. Veel mensen denken dat de security zo goed is doordat talloze mensen de code bekijken en ontwikkelaars waarschuwen als er een bug is gevonden. De meeste mensen die urenlang code uitzoeken zijn echter blackhat hackers, die opzoek zijn naar een nieuw lek om te exploiten. Het is dan ook vooral de modulaire opbouw, die tot een transparanter systeem dat minder afhankelijk is leidt, dat voor de verbeterde security van open-source software zorgt. Er zijn echter nog meer voordelen, zoals dit artikel laat zien.
Reacties (20)
Dus eigenlijk heeft het niets te maken dat het open source is maar meer
omdat de opbouw volgens dit artikel zo goed is. Conclusie: Windows kan net
zo veilig zijn ondanks dat het niet open is. Nu heb ik weinig van een eenheid
van modulair programmeren in Linux gemerkt. Windows daarintegen doet
constant stappen om modulair te kunnen programmeren, denk aan
COM, .net etc. Dit zijn technieken die door het gehele platform werken. Als ik
het artikel zou geloven en extrapoleer zou Windows dus veiliger zijn omdat ze
beter modulair zijn. (volgens mij is het artikel gewoon shit)
omdat de opbouw volgens dit artikel zo goed is. Conclusie: Windows kan net
zo veilig zijn ondanks dat het niet open is. Nu heb ik weinig van een eenheid
van modulair programmeren in Linux gemerkt. Windows daarintegen doet
constant stappen om modulair te kunnen programmeren, denk aan
COM, .net etc. Dit zijn technieken die door het gehele platform werken. Als ik
het artikel zou geloven en extrapoleer zou Windows dus veiliger zijn omdat ze
beter modulair zijn. (volgens mij is het artikel gewoon shit)
Door Anoniem
Nu heb ik weinig van een eenheid
van modulair programmeren in Linux gemerkt. Windows
daarintegen doet
constant stappen om modulair te kunnen programmeren, denk aan
COM, .net etc. Dit zijn technieken die door het gehele
platform werken. Als ik
het artikel zou geloven en extrapoleer zou Windows dus
veiliger zijn omdat ze
beter modulair zijn.
Nu heb ik weinig van een eenheid
van modulair programmeren in Linux gemerkt. Windows
daarintegen doet
constant stappen om modulair te kunnen programmeren, denk aan
COM, .net etc. Dit zijn technieken die door het gehele
platform werken. Als ik
het artikel zou geloven en extrapoleer zou Windows dus
veiliger zijn omdat ze
beter modulair zijn.
Dan heb je nmm de definitie van modulair programeren niet
begrepen of nog nooit naar de Linux kernel code gekeken. Dat
er bij Linux niet gewerkt wordt met COM en .net technieken
is niet het zelfde als niet modulair programmeren. Veel
Linux en opensource programma´s zijn wel degelijk modulair
opgebouwd.
Stel: mijn huis staat open voor inbrekers en zij kunnen naar hartelust
kijken of de beveiliging wel of niet in orde is. Daar zit nu de kneep. Je
moet nooit aan inbrekers vertellen waar je sterke of zwakke punten
zitten. Zwakke punten worden dan gegarandeerd uitgebuit............
kijken of de beveiliging wel of niet in orde is. Daar zit nu de kneep. Je
moet nooit aan inbrekers vertellen waar je sterke of zwakke punten
zitten. Zwakke punten worden dan gegarandeerd uitgebuit............
Door Anoniem
Dan heb je nmm de definitie van modulair programeren niet
begrepen of nog nooit naar de Linux kernel code gekeken. Dat
er bij Linux niet gewerkt wordt met COM en .net technieken
is niet het zelfde als niet modulair programmeren. Veel
Linux en opensource programma´s zijn wel degelijk modulair
opgebouwd.
Modulair programmeren: je programma code zo onderverdelen zodat je Door Anoniem
Nu heb ik weinig van een eenheid
van modulair programmeren in Linux gemerkt. Windows
daarintegen doet
constant stappen om modulair te kunnen programmeren, denk aan
COM, .net etc. Dit zijn technieken die door het gehele
platform werken. Als ik
het artikel zou geloven en extrapoleer zou Windows dus
veiliger zijn omdat ze
beter modulair zijn.
Nu heb ik weinig van een eenheid
van modulair programmeren in Linux gemerkt. Windows
daarintegen doet
constant stappen om modulair te kunnen programmeren, denk aan
COM, .net etc. Dit zijn technieken die door het gehele
platform werken. Als ik
het artikel zou geloven en extrapoleer zou Windows dus
veiliger zijn omdat ze
beter modulair zijn.
Dan heb je nmm de definitie van modulair programeren niet
begrepen of nog nooit naar de Linux kernel code gekeken. Dat
er bij Linux niet gewerkt wordt met COM en .net technieken
is niet het zelfde als niet modulair programmeren. Veel
Linux en opensource programma´s zijn wel degelijk modulair
opgebouwd.
verschillende onderdelen krijgt. Prachtig zou zijn als deze techniek ervoor
zorgt dat deze module´s geladen kunnen worden als ze nodig zijn zoals bv
dll´s. Dit zorgt ervoor dat je bv je kernel niet hoeft te hercompileren als je iets
anders wilt. Lijkt me typisch op Linux slaan.
Door Anoniem
Stel: mijn huis staat open voor inbrekers en zij kunnen naar hartelust
kijken of de beveiliging wel of niet in orde is. Daar zit nu de kneep. Je
moet nooit aan inbrekers vertellen waar je sterke of zwakke punten
zitten. Zwakke punten worden dan gegarandeerd uitgebuit............
Stel: mijn huis staat open voor inbrekers en zij kunnen naar hartelust
kijken of de beveiliging wel of niet in orde is. Daar zit nu de kneep. Je
moet nooit aan inbrekers vertellen waar je sterke of zwakke punten
zitten. Zwakke punten worden dan gegarandeerd uitgebuit............
Stel: ik leg een groot rookgordijn om mijn huis. inbrekers kunnen niet zien
waar de zwakke punten zitten, maar ik zelf ook niet. Zolang niemand ze vindt
ben ik veilig, maar als iemand een keer door die rook aan het wandelen is en
toenvallig een raam vindt dat openstaat...
Door Anoniem
Stel: mijn huis staat open voor inbrekers en zij kunnen naar
hartelust
kijken of de beveiliging wel of niet in orde is. Daar zit nu
de kneep. Je
moet nooit aan inbrekers vertellen waar je sterke of zwakke
punten
zitten. Zwakke punten worden dan gegarandeerd
uitgebuit............
Stel: mijn huis staat open voor inbrekers en zij kunnen naar
hartelust
kijken of de beveiliging wel of niet in orde is. Daar zit nu
de kneep. Je
moet nooit aan inbrekers vertellen waar je sterke of zwakke
punten
zitten. Zwakke punten worden dan gegarandeerd
uitgebuit............
Dit wordt ook wel 'security by obscurity' genoemd. Het lijkt
een goed idee maar in de praktijk blijkt het bijna
tegengesteld te zijn. Een echte inbreker die er enigszins
moeite voor doet weet er toch wel achter te komen waar de
zwakke punten in je beveiliging zitten. Behulpame mensen die
de zwakke punten zouden kunnen herkennen krijgen echter de
kans niet (en gaan er ook geen moeite voor doen), waardoor
jij deze ook niet te horen krijgt.
Wat een gezwam. Er bestaat geen waterdichte software. Ook open-
source niet!
source niet!
INDUITE ARMATURAM!
SIC! Waarom staat er anders een vraagteken achter de zin...?
SIC! Waarom staat er anders een vraagteken achter de zin...?
Windows daarintegen doet constant stappen om modulair
te kunnen programmeren, denk aan
COM, .net etc. Dit zijn technieken die door het gehele
platform werken.
te kunnen programmeren, denk aan
COM, .net etc. Dit zijn technieken die door het gehele
platform werken.
Dit is niet modulair programmeren en daar zit hem nou juist
het probleem. Dergelijke componenten die vrijwel niemand
nodig heeft zitten in het hele platform geïntegreerd. Zit
hier dus ergens een fout in een van deze componenten zoals
bij DCOM dan zit je meteen met een groot probleem.
Linux daarintegen zou hier een apart component van maken dat
specifiek door de gebruiker geladen moet worden. Het is dan
veel duidelijker wat er precies gebeurd, bovendien wordt dit
component dan ook door een apart team onderhouden, waardoor
zij hier constant aandacht aan besteden om het veilig te
krijgen.
In ieder geval komt het in de Open Source community niet
voor dat beveiligingslekken een half jaar bekend zijn zonder
opgelost te worden zoals bij M$:
http://www.eeye.com/html/Research/Upcoming/index.html
en er is ook zo'n opsomming van de lekken in IE
voor dat beveiligingslekken een half jaar bekend zijn zonder
opgelost te worden zoals bij M$:
http://www.eeye.com/html/Research/Upcoming/index.html
en er is ook zo'n opsomming van de lekken in IE
08-03-2004, 09:30 door
Atzer
Johan Cruyff : ' Ieder nadeel hep zijn voordeel en andersom,
natuurlijk, dat is logisch'.
natuurlijk, dat is logisch'.
Door Anoniem
In ieder geval komt het in de Open Source community niet
voor dat beveiligingslekken een half jaar bekend zijn zonder
opgelost te worden zoals bij M$:
http://www.eeye.com/html/Research/Upcoming/index.html
en er is ook zo'n opsomming van de lekken in IE
Ik meen me te herinneren dat er een paar open source lekken waren die ook In ieder geval komt het in de Open Source community niet
voor dat beveiligingslekken een half jaar bekend zijn zonder
opgelost te worden zoals bij M$:
http://www.eeye.com/html/Research/Upcoming/index.html
en er is ook zo'n opsomming van de lekken in IE
lang bekend waren maar nog niet opgelost., heb daarnaast meegemaakt dat
ze alleen in de nieuwe versie werden opgelost en niet in die daarvoor, ben je
ook klaar mee. Ik denk trouwens niet dat MS 6 maanden heeft zitten niksen
maar het lek van dusdanige aard was dat veel componenten getest moesten
worden
Door Anoniem
lang bekend waren maar nog niet opgelost., heb daarnaast meegemaakt dat
ze alleen in de nieuwe versie werden opgelost en niet in die daarvoor, ben je
ook klaar mee. Ik denk trouwens niet dat MS 6 maanden heeft zitten niksen
maar het lek van dusdanige aard was dat veel componenten getest moesten
worden
eerste reactie is met voorbeeld...waar zijn jouw voorbeelden ?Door Anoniem
In ieder geval komt het in de Open Source community niet
voor dat beveiligingslekken een half jaar bekend zijn zonder
opgelost te worden zoals bij M$:
http://www.eeye.com/html/Research/Upcoming/index.html
en er is ook zo'n opsomming van de lekken in IE
Ik meen me te herinneren dat er een paar open source lekken waren die ook In ieder geval komt het in de Open Source community niet
voor dat beveiligingslekken een half jaar bekend zijn zonder
opgelost te worden zoals bij M$:
http://www.eeye.com/html/Research/Upcoming/index.html
en er is ook zo'n opsomming van de lekken in IE
lang bekend waren maar nog niet opgelost., heb daarnaast meegemaakt dat
ze alleen in de nieuwe versie werden opgelost en niet in die daarvoor, ben je
ook klaar mee. Ik denk trouwens niet dat MS 6 maanden heeft zitten niksen
maar het lek van dusdanige aard was dat veel componenten getest moesten
worden
Door Anoniem
In ieder geval komt het in de Open Source community niet
voor dat beveiligingslekken een half jaar bekend zijn zonder
opgelost te worden zoals bij M$:
http://www.eeye.com/html/Research/Upcoming/index.html
en er is ook zo'n opsomming van de lekken in IE
Hoe lang duurde het wel niet voordat Linux een beetje redelijk installeerbaar was. Vond In ieder geval komt het in de Open Source community niet
voor dat beveiligingslekken een half jaar bekend zijn zonder
opgelost te worden zoals bij M$:
http://www.eeye.com/html/Research/Upcoming/index.html
en er is ook zo'n opsomming van de lekken in IE
ik een van de grootste fouten van Linux. Geef me dan die paar maanden van M$ maar
voor een fout update.
Door Anoniem
Hoe lang duurde het wel niet voordat Linux een beetje
redelijk installeerbaar was. Vond
ik een van de grootste fouten van Linux. Geef me dan die
paar maanden van M$ maar
voor een fout update.
Hoe lang duurde het wel niet voordat Linux een beetje
redelijk installeerbaar was. Vond
ik een van de grootste fouten van Linux. Geef me dan die
paar maanden van M$ maar
voor een fout update.
Niet makkelijk instelbaar zijn maakt een systeem nog niet
onveilig. Dat is als het gevolg van de systeembeheerder die
niet de moeite neemt om het systeem in te stellen. Het is
nooit onmogelijk geweest en echt ingewikkeld is het ook niet
als je je er een beetje in verdiepte. Dat moet met
implementeren van security altijd trouwens. Daarbij is de
bron altijd al vrijwel vrij geweest van grove fouten.
Dat in tegenstelling tot de MS software: je kan instellen
wat je wil, maar in veel gevallen valt een beveiligings lek
niet te wijten aan de systeembeheerder maar de lakse houding
van MS om een patch uit te brengen. Dan heb ik toch echt
liever een wat moeilijk instelbaar systeem waarbij je
uiteindelijk weet hoe het in elkaar steekt en het werkelijk
veilig is dan dat je maanden zit met een wijd open staand
systeem.
M$ software is van de grond af ontworpen en gebouwd zonder
beveiliging in het vizier te hebben. M$ denkt, zoals veel
bedrijven in Nederland ook trouwens, dat beveiliging een
sausje is dat je er later overheen kunt laten vallen en dan
alles veilig is.
Helaas, dit is verre van de waarheid
fd0
beveiliging in het vizier te hebben. M$ denkt, zoals veel
bedrijven in Nederland ook trouwens, dat beveiliging een
sausje is dat je er later overheen kunt laten vallen en dan
alles veilig is.
Helaas, dit is verre van de waarheid
fd0
Door Anoniem
M$ software is van de grond af ontworpen en gebouwd zonder
beveiliging in het vizier te hebben. M$ denkt, zoals veel
bedrijven in Nederland ook trouwens, dat beveiliging een
sausje is dat je er later overheen kunt laten vallen en dan
alles veilig is.
Helaas, dit is verre van de waarheid
fd0
Unix is niet ontworpen om gebruikersvriedelijk te zijn. Dat is nu ook beter.M$ software is van de grond af ontworpen en gebouwd zonder
beveiliging in het vizier te hebben. M$ denkt, zoals veel
bedrijven in Nederland ook trouwens, dat beveiliging een
sausje is dat je er later overheen kunt laten vallen en dan
alles veilig is.
Helaas, dit is verre van de waarheid
fd0
Door Anoniem
heb daarnaast meegemaakt dat
ze alleen in de nieuwe versie werden opgelost en niet in die
daarvoor, ben je
ook klaar mee.
heb daarnaast meegemaakt dat
ze alleen in de nieuwe versie werden opgelost en niet in die
daarvoor, ben je
ook klaar mee.
Niet om het een of ander hoor maar op een (security) fix te
verspreiden moet je sowieso een nieuwe versie maken :)
overigens worden oudere kernels nog steeds geupdate voor
security fixes
Door Anoniem
Modulair programmeren: je programma code zo onderverdelen
zodat je
verschillende onderdelen krijgt. Prachtig zou zijn als deze
techniek ervoor
zorgt dat deze module´s geladen kunnen worden als ze nodig
zijn zoals bv
dll´s. Dit zorgt ervoor dat je bv je kernel niet hoeft te
hercompileren als je iets
anders wilt. Lijkt me typisch op Linux slaan.
Modulair programmeren: je programma code zo onderverdelen
zodat je
verschillende onderdelen krijgt. Prachtig zou zijn als deze
techniek ervoor
zorgt dat deze module´s geladen kunnen worden als ze nodig
zijn zoals bv
dll´s. Dit zorgt ervoor dat je bv je kernel niet hoeft te
hercompileren als je iets
anders wilt. Lijkt me typisch op Linux slaan.
Niet als je fatsoenlijk compileert en veel, zo niet alles
als modules compileert. Heb je iets nodig dan laad je de
betreffende module en klaar is kees. Dll's zijn zelf
problematischer door de versie problemen zoals bekend van
windows 98 (nog veel gebruikt, maar dalende).
Fatsoenlijk gemoduleerd programmeren voorkomt het
herschrijven van reeds geschreven code, iets waar MS nu
hinder van ondervindt en de hoofdreden dat XP nooit echt
veilig zal worden. Wie weet is Longhorn wel wat, maar gezien
de voorgeschiedenis...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
