Gjest Marius B. Jørgenrud Skrevet 24. mai 2018 Del Skrevet 24. mai 2018 Buypass starter opp en faglig bransjearena.Synes at IT-konsulenter kan for lite om sikkerhet: – Vi ser at kompetanse ofte er mangelvare Lenke til kommentar
LMH1 Skrevet 24. mai 2018 Del Skrevet 24. mai 2018 (endret) Tror vi kan slå fast med unntak av store bedrifter er sikkerheten dårlig, ofte går skoler\offentlig etater for eldre operativsystem som XP og windows 7 som sier litt om hvordan sikkerhetsbilde er. Enkelte store bedrifter har antivirusprogram og brannmur ja det er vel der sikkerheten ligger. Men eldre operativsystemer er jo sikkerhetrisiko. Endret 24. mai 2018 av LMH1 1 Lenke til kommentar
Emancipate Skrevet 24. mai 2018 Del Skrevet 24. mai 2018 Sertifikater, bla bla bla, de kan starte med å unngå SQL injections og manglende sjekk av om man er innlogget. Lenke til kommentar
LMH1 Skrevet 24. mai 2018 Del Skrevet 24. mai 2018 (endret) Utviklere vertfall dagens tenker vel neppe heller på sikkerhet først når de lager ting? Er vel heller brukervennlighet og pris som kommer først. Man ser jo det fra store leveranører at det er så lett for hackere å stjele informasjon. Endret 24. mai 2018 av LMH1 Lenke til kommentar
Emancipate Skrevet 24. mai 2018 Del Skrevet 24. mai 2018 Brukervennlighet er det i hvert fall ikke. Lenke til kommentar
Scott Johansen Skrevet 24. mai 2018 Del Skrevet 24. mai 2018 I den offentlige sektoren så er alltid pris den faktoren som veier tyngst ved anbud, samt at budsjettene ikke brukes på riktig måte. En overadministrert offentlig sektor hvor sikkerhet ikke synes å ha den helt store prioriteten. Er det rart at denne sektoren er en fare for landets samfunnssikkerhet ? Lenke til kommentar
-Night- Skrevet 24. mai 2018 Del Skrevet 24. mai 2018 Utviklere tenker ikke alltid sikkerhet og mye ad-hoc der noen kommer in i etter tid og påpeker ting, det gjør det tung å rydde opp. Buypass er flinke med og komme med nye løsninger herunder nå også støtte for ACME og gratis sertifikater, men dessverre henger de etter på muligheter i sertifikater for å øke sikkerheten enda mer, herunder OCSP Must-Staple og EC de henger også etter på IPv6. Lenke til kommentar
Sandormen Skrevet 24. mai 2018 Del Skrevet 24. mai 2018 Joda, god idè å påpeke sikkerhet, menneh, skal man ikke også endelig innse at det er et enormt område som faktisk krever innsikt på nivå med en egen utdannelse? Man kunne jo håpe at en systemutvikler/programmør var like dyktig på sikkerhet, menneh... Det blir jo som om en revisor må få kurs i hvordan astronomer lager matematiske beregninger på avstand til stjerner. Alle kan ikke alt. Det minner litt om ‘85-‘95, hvor en stillingsutlysing ‘krevde’ inngående kjennskap til 5 programmeringsspråk, 5 års god utdannelse samt 5-10 års yrkespraksis. -Til en lønn langt under sjefsstilling, da computerarbeidere var å regne som en irriterende ekstrautgift til nerdy unge mennesker som ikke riktig passa inn i hierarkiet. Vil du ha datasikkerhet, vil det kreve en stilling utover Systemutvikling og Programmør, og etc. Tviler på du får en Sikkerhetsspesialist til å ta rollen som support-tekniker/programmør/systemutvikler/admin. -Ok, kanskje admin. Det ligger ikke så langt fra treet. 2 Lenke til kommentar
siDDis Skrevet 25. mai 2018 Del Skrevet 25. mai 2018 Eg er enige med dei fleste her, behovet for riktig kompetanse matcher ikkje betalingsvilje. Og manglende betalingsvilje fører til at innsatsviljen for å lære seg ting forblir lav. Finn meg ein person som kan kort forklare forskjellen mellom Bcrypt og Scrypt/Argon2. Eg trur det er knapt 10-20 personar her i landet som kunne tatt det på sparken. Istadenfor så bruker dei fleste framleis ein variant av SHA/MD5 + SALT :face-palm: IT-sikkerheit er som fotball, skal du spele i lilleputt-ligaen eller premier-league? Du får det du betaler for. Lenke til kommentar
-Night- Skrevet 25. mai 2018 Del Skrevet 25. mai 2018 Eg er enige med dei fleste her, behovet for riktig kompetanse matcher ikkje betalingsvilje. Og manglende betalingsvilje fører til at innsatsviljen for å lære seg ting forblir lav. Finn meg ein person som kan kort forklare forskjellen mellom Bcrypt og Scrypt/Argon2. Eg trur det er knapt 10-20 personar her i landet som kunne tatt det på sparken. Istadenfor så bruker dei fleste framleis ein variant av SHA/MD5 + SALT :face-palm: IT-sikkerheit er som fotball, skal du spele i lilleputt-ligaen eller premier-league? Du får det du betaler for. Akkuart det der går også mye på hvordan applikasjoner er skrevet front- og backend, i store bedrifter ser vi at det blir mer og mer SSO, enten med SAML/ADFS osv osv osv, mye kan gjøre sikkerhet men mange faller desverre tilbake på buzzord som de har hørt i film for 15 år siden, slik som swordfish som gikk i går det 128bit var top of the line. Du har rett i det du skriver også rundt bruk av hasher, men passord i seg selv er ikke nok MFA er det som trengs per nå inntil vi kan gå bort i fra passord som helhet. Lenke til kommentar
siDDis Skrevet 25. mai 2018 Del Skrevet 25. mai 2018 Poenget mitt er at sikkerhetsprodukter som ingen forstår introduserer bare masse meir kompleksistet og mykje større potensiell fare for sikkerheitsbrister. F.eks SAML, ser kjempebra ut på salgspapiret. Men den tekniske dokumentasjonen er dessverre tragisk, sjølv om det tekniske prinisippet er veldig enkelt. Ikkje at dei andre alternativa er noko betre dei heller... Poenget mitt når det tekniske forståelsen mangler, så evner ein ikkje til å sjå svakheiter og risikoer. Vipps så får ein feilkonfigurasjon enorme konsekvenser. Lenke til kommentar
-Night- Skrevet 25. mai 2018 Del Skrevet 25. mai 2018 Poenget mitt er at sikkerhetsprodukter som ingen forstår introduserer bare masse meir kompleksistet og mykje større potensiell fare for sikkerheitsbrister. F.eks SAML, ser kjempebra ut på salgspapiret. Men den tekniske dokumentasjonen er dessverre tragisk, sjølv om det tekniske prinisippet er veldig enkelt. Ikkje at dei andre alternativa er noko betre dei heller... Poenget mitt når det tekniske forståelsen mangler, så evner ein ikkje til å sjå svakheiter og risikoer. Vipps så får ein feilkonfigurasjon enorme konsekvenser. hehe ja, har sett den før, synd at mange pårober seg sikkerhet kompetanse uten og faktisk ha det. egner ikke see hvorfor man frks burde bytte ut SHA1/MD5 med noe nyere eller hvorfor man burde slå av SSL3/TLS1.0. ei heller fordelene av HSTS og tvinge kryptering gjennom. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå