Minside som åpen kildekode

[ventle]

Nå tror jeg ikke du skal undervurdere de folkene som driver med dette.

8412401[/snapback]

 

Tror ikke det er ungdomsskoleelever som har utviklet dette nei, for å si det sånn, men tross alt er de fortsatt bare mennesker, og selv om de er enormt dyktige så finnes det alltids slemme hackere som er like dyktige. Og jeg er helt enig i at eventuelle sikkerhetshull vil bli funnet raskere dersom offentligheten har innsyn - men jeg mener fortsatt det er galt å gjøre dette med noe av det mest kritiske den offentlige sektoren har liggende ute på nett.

[Defekt]

Nå tror jeg ikke du skal undervurdere de folkene som driver med dette.

8412401[/snapback]

 

Tror ikke det er ungdomsskoleelever som har utviklet dette nei, for å si det sånn, men tross alt er de fortsatt bare mennesker, og selv om de er enormt dyktige så finnes det alltids slemme hackere som er like dyktige. Og jeg er helt enig i at eventuelle sikkerhetshull vil bli funnet raskere dersom offentligheten har innsyn - men jeg mener fortsatt det er galt å gjøre dette med noe av det mest kritiske den offentlige sektoren har liggende ute på nett.

8418154[/snapback]

 

Hvis du leser posten min lengre oppe her er det ingen automatikk i at HELE systemet slippes (det har jeg rett og slett vanskelig for å se for meg). Når jeg sier at det er kompetente folk som driver med det her så snakker jeg ikke bare om arbeidet som er gjort under utviklingen, men også under arbeidet som gjøre sunder frislippet. På såpass kritiske systemer som dette ligger det nok sikkerhetsmekanismer utover de rent tekniske i bunnen. I tillegg tror jeg de vil være svært varsomme med å legge ut de mest kritiske sikkerhetssystemene som ligger til grunn. Det vil nok være flerfoldige veldig nyttige løsninger som kan publiseres, uten at det i det hele tatt påvirker sikkerheten i systemet som sådan.

[Simen1]

Flere velger å gå i samme retning:

 

Second Life To Open Source Server Code

 

[DarkSlayer]

Ang. sikkerheten ved å offentliggjøre kildekoden, så er jeg enig med dem som sier at en åpen løsning er bra for sikkerheten. Eventuelle feil vil bli funnet fortere og dermed rettet fortere.

 

Det er en gjengs oppfatning at open source fører til sikkerhet. Er dette riktig?

 

FF er da et godt kjent prosjekt, som har vært open source lenge. Hvordan kan det ha seg at det er først det siste, kanskje 2, årene at det har kommet sikkerhetsfikser på løpende bånd. Så sent som idag faktisk. Hvorfor er ikke disse problemene blitt luket ut tidligere? Har ikke folk hatt tilgang?

 

Samme kan man si om mange open source systemer, gjerne PHP hvor sikkerhetshullene florerer.

 

FF retter feil, som eksterne sikkerhetsfirmaer oppdager gratis for dem, fordi FF begynner å bli poppis. Dette er ikke et resultat av gjennomsnittsutviklere som tar en sneak-peak.

 

Jeg mener at det er bullshit at open source fører til mer sikkerhet, like lite som at kompilert proprietært tilgjengelig software er sikkert.

Fordelen med lukket kode på en lukket server, er at få personer har adgang til koden. I motsetning til IE sin kode som kan disassembles for å få frem koden.

 

Sikkerhet i kode kan man kun få til om man designer for sikkerhet, tester for sikkerhet, har utviklere med kjernekompetanse på sikkerhet, og alt det andre som må til.

 

Stoler jeg på et stort og flott konsulentfirma, at de har gjort det som er nødvendig? NEI!!!

Hvorfor? Fordi sikkerhet er svindyrt, og ingen kaster mer penger på dette enn de ønsker. Konsulentfirmaet er interessert i å sitte igjen med et overskudd etter oppdrag utført.

Har ikke staten satt eksplisitte målbare krav(noe de ikke har filla peil på), så vil man heller ikke utvikle noe slikt.

Sågar benytter man av billigst mulig arbeidskraft om det er godt nok i henhold til KONKRETE krav, og det er ikke synonymt med "dyktige arbeidere man kan stole på ikke lager sikkerhetshull".

 

Over tid, etter mange runder i utvikling og testing, så kan vi sikkert bli enig i at det er sikkert nok, og tåler å frigis til kriminelle.

[jonnor]

Ang. sikkerheten ved å offentliggjøre kildekoden, så er jeg enig med dem som sier at en åpen løsning er bra for sikkerheten. Eventuelle feil vil bli funnet fortere og dermed rettet fortere.

 

Det er en gjengs oppfatning at open source fører til sikkerhet. Er dette riktig?

Det er ihvertfall en grov overforenkling. Open source fører til et potensielt sikrere system, men det er ingen garanti for at prosjektet faktisk blir gått igjennom grundig selv om det er tilgjengelig.

"There is no magic bullet."

 

FF er da et godt kjent prosjekt, som har vært open source lenge. Hvordan kan det ha seg at det er først det siste, kanskje 2, årene at det har kommet sikkerhetsfikser på løpende bånd. Så sent som idag faktisk. Hvorfor er ikke disse problemene blitt luket ut tidligere? Har ikke folk hatt tilgang?

Skal man fokusere mye mer på sikkerhet må man fokusere tilsvarende mindre på andre ting, for eksempel funksjonalitet.

 

Selv synes jeg dette er spennende, selv om jeg er usikker på om det får noe utslag i det hele tatt.

Og jeg er usikker på om dette er riktig strategi når målet er gjennbruk. Hadde det ikke vært mist like effektivt å la interesserte partier legge inn sine tilbud/funksjonalitet som "plug-ins" på den MinSide vi har i dag?