Gå til innhold

Minside som åpen kildekode

abene

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Defekt

Defekt

Skrevet
Skrevet
Bra tiltak!

 

Flere burde komme med slike løsninger/tiltak, men blir dette å gå utover sikkerheten?

8411778[/snapback]

 

Det var min foerste tanke ogsaa, men det er nok sannsynligvis en av de tingene som skal utredes i tiden foer kildekoden faktisk slippes. Veldig godt tiltak og det bekrefter at Norge paa manger maater ligger langt fremme naar det gjelder bruk av IKT i det offentlige. Saa gjenstaar det aa se om det faar saerlig praktisk nytte for noen - det avhenger jo i stor grad baade av brukerne og maaten kildekoden slippes paa. Jeg har faktisk tro paa at dette er noe som kommer til aa gjoeres skikkelig, og at gjenbrukseffekten dermed kommer til aa vaere til stede. Veldig bra!

Lenke til kommentar
Simen1

Simen1

Skrevet
Skrevet

Glimrende tiltak! De har skjønt poenget med åpen kildekode :thumbup:

 

men blir dette å gå utover sikkerheten?

8411778[/snapback]

Tvert i mot! Åpen kildekode betyr at flere utviklere og sikkerhetseksperter får muligheten til å gå gjennom koden og luke ut bugs, problemer, ineffektiviteter og sikkerhetsproblemer. Du kan gjerne sammenligne med den glimrende sikkerheten som finnes i Linux i dag. Et resultat av det er [et nesten totalt fravær av virus på Linux. :) (Kilde, punkt 2)

Lenke til kommentar
Cryovat

Cryovat

Skrevet
Skrevet (endret)
Tvert i mot! Åpen kildekode betyr at flere utviklere og sikkerhetseksperter får muligheten til å gå gjennom koden og luke ut bugs, problemer, ineffektiviteter og sikkerhetsproblemer. Du kan gjerne sammenligne med den glimrende sikkerheten som finnes i Linux i dag. Et resultat av det er [et nesten totalt fravær av virus på Linux. :) (Kilde, punkt 2)

8411853[/snapback]

 

Aberet er at du aldri har noen garanti for at de som vil gå gjennom koden vil se utnyttbare småfeil eller at de vil finne dem før blackhattere. Å opensource en side på denne skalaen gjør det vanvittig lett for folk som bedriver identitetstyveri å lete etter hull i siden, og da det er mye kommersiell motivasjon blant dem som gjør det, er det garantert at noen vil prøve. Og om de finner feil, kan det ta veldig lang tid før rapporten har gått gjennom interne vurderingsprosesser, testing og fiksen har kommet ut i produksjon. Hvis feilrapportene er offentlig tilgjengelige (som det ofte er i åpne bugtrackere i open source prosjekter) blir det som å flagge med sårbarheter som kan ramme personvernet til hele den norske befolkningen.

 

Hvis en side som MinSide blir komprommitert kun en eneste gang blir konsekvensene katastrofale. Hvis noen klarer å komme inn på kontoen min sitter de plutselig med tonnevis av informasjon som kan selges eller misbrukes på andre måter.

 

Så synes dette er en veldig dårlig ide... :no:

 

Og eksempelet med Linux synes jeg du forenkler altfor mye; er mange flere faktorer som spiller inn (for å nevne et par: ulike distroer skaper ingen felles angrepsvektorer; markedsandel gjør det lite lønnsomt i forhold til å angripe Windows-maskiner, Linuxbrukere har ofte høy it-kunnskap og ser lettere gjennom social engineering (en veldig stor andel av virus spres gjennom "hei, se på dette Britney-bildet i denne exe filen" og liknende))

Endret av Cryovat
Lenke til kommentar
ventle

ventle

Skrevet
Skrevet

Enig med Cryovat her, at det offentlige bidrar til åpen kildekode-samfunnet er vel og bra, men at koden til ett system som behandler sensitiv informasjon blir lagt ut for all verden er rett og slett en studie i mangel på forståelse for hvilke krefter som finnes der ute som kan (og vil) dra nytte av dette.

 

Hvis internasjonal organisert kriminalitet får snusen i at veien til gradert informasjon om alle innbyggere i norge blir lagt "åpen" for drevne hackere, finnes det alltid både marked og penger i disse kretsene for å utnytte det.

Lenke til kommentar
mandela

mandela

Skrevet
Skrevet
Enig med Cryovat her, at det offentlige bidrar til åpen kildekode-samfunnet er vel og bra, men at koden til ett system som behandler sensitiv informasjon blir lagt ut for all verden er rett og slett en studie i mangel på forståelse for hvilke krefter som finnes der ute som kan (og vil) dra nytte av dette.
øh, for å nyansere litt:

bare minner om at Pentagon "kjører" OpenBSD og kryptering som brukes i secret og top secret dokumenter i EU og US er "åpen kildekode":

se eksempel: http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

 

er du kjent med begrepet "security by design"?

"Generally, designs that work well do not rely on being secret. It is not mandatory, but good security usually means that everyone is allowed to know and understand the design, because it is secure"

http://en.wikipedia.org/wiki/Security_by_design

 

og Kerckhoffs prinsipp?

http://en.wikipedia.org/wiki/Kerckhoffs%27_principle

Lenke til kommentar
Defekt

Defekt

Skrevet
Skrevet
Enig med Cryovat her, at det offentlige bidrar til åpen kildekode-samfunnet er vel og bra, men at koden til ett system som behandler sensitiv informasjon blir lagt ut for all verden er rett og slett en studie i mangel på forståelse for hvilke krefter som finnes der ute som kan (og vil) dra nytte av dette.

 

Hvis internasjonal organisert kriminalitet får snusen i at veien til gradert informasjon om alle innbyggere i norge blir lagt "åpen" for drevne hackere, finnes det alltid både marked og penger i disse kretsene for å utnytte det.

8412302[/snapback]

 

Nå tror jeg ikke du skal undervurdere de folkene som driver med dette. Det er fullt mulig å legge ut de mindre kritiske delene av kildekodene på en slik måte at det hverken kompromiterer sikkerheten eller lisensene til eventuelle proprietære deler som noen nevnte lenger oppe her. Det er viktig å være kritisk til slike avgjørelser, men det er også viktig å huske at slike systemer et utviklet av svært habile folk, og at det en grunn til at datoen for å slippe koden ligger langt frem i tid.

 

I tillegg vil en slik publisering bidra til - som folk folk har påpekt før meg - at eventuelle feil kan oppdages raskt og dermed rettes. Men, om jeg ikke skyter flere meter av blink så kan du føle deg trygg på at det som legges ut ikke vil være kritiske sikkerhetsprosedyrer, men nyttige undersystemer med funkjonalitet som kan være nyttig også for andre.

Lenke til kommentar
iDude

iDude

Skrevet
Skrevet (endret)
men blir dette å gå utover sikkerheten?

8411778[/snapback]

Tvert i mot! Åpen kildekode betyr at flere utviklere og sikkerhetseksperter får muligheten til å gå gjennom koden og luke ut bugs, problemer, ineffektiviteter og sikkerhetsproblemer.

8411853[/snapback]

Det er ikke noe automatikk i at open source=sikrere. Det kommer veldig an på hvor mange som faktisk bruker MinSide løsningen; jo større brukermiljø et prosjekt har, jo flere utviklere og sikkerhetseksperter tar seg tid til å luke ut bugs osv. Mye kommer an på hvor populær MinSide-koden blir, imho.

 

Jeg mener dette er litt dristig av regjeringen. Man har et prosjekt der det er åpenbare interesser for ondsinnete til å utnytte systemet, samtidig vet man strengt tatt lite om hvor stort brukermiljøet blir etter at kildekoden blir lagt ut. Vi får satse på at de er fornuftige og har en streng gjennomgang av sikkerheten før det slippes, og hvilke komponenter som faktisk skal slippes.

Endret av ibrotha
Lenke til kommentar
Defekt

Defekt

Skrevet
Skrevet
Enig med Cryovat her, at det offentlige bidrar til åpen kildekode-samfunnet er vel og bra, men at koden til ett system som behandler sensitiv informasjon blir lagt ut for all verden er rett og slett en studie i mangel på forståelse for hvilke krefter som finnes der ute som kan (og vil) dra nytte av dette.
øh, for å nyansere litt:

bare minner om at Pentagon "kjører" OpenBSD og kryptering som brukes i secret og top secret dokumenter i EU og US er "åpen kildekode":

se eksempel: http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

 

er du kjent med begrepet "security by design"?

"Generally, designs that work well do not rely on being secret. It is not mandatory, but good security usually means that everyone is allowed to know and understand the design, because it is secure"

http://en.wikipedia.org/wiki/Security_by_design

 

og Kerckhoffs prinsipp?

http://en.wikipedia.org/wiki/Kerckhoffs%27_principle

8412352[/snapback]

 

Må bare få lov til å korrigere deg litt her, selv om jeg generelt er enig i det du sier. Den vesentlige forskjellen er at AES og liknende security by design-algoritmer ble omfattende tester FØR de ble satt ut i live (typisk da i designkonkurransene som ledet til algoritmene), i motsetning til minside som ble designet og implementert, og deretter først nå skal åpnes for innsyn. Det er naturligvis veldig vanskelig å åpne et så stort design som det minside er for innsyn på samme måten som man gjorde med AES. Men, det kan uansett være bra å finne eventuelle svakheter i deler av systemet ved å publisere koden og dermed sannsynligvis få vite det før noen rekker å misbruke det til en særlig grad, enn å finne ut at noen trolig har misbrukt en eller annen feil i tre måneder før man oppdaget det.

Lenke til kommentar
Prognatus

Prognatus

Skrevet
Skrevet

Bra tiltak! Det vil få internasjonal oppmerksomhet. Jeg får bare mer og mer respekt for Heidi Grande Røys. Hun tar åpen kildekode og åpne standarder på alvor og ønsker å gå foran med et godt eksempel. Imponerende.

 

Det er viktig å sette fokus på dette, slik at andre deler av det offentlige blir seg bevisst slike ting når de velger tekniske løsninger. For å illustrere dette med bevisstgjøring, har jeg lyst til å sitere noe fra mailinglisten til Eleketronisk Forpost Norge (EFN ) i dag - det er et utdrag av et svar fra Stortingets web redaktør på spørsmål fra Nrk/FBI. Som det går frem av denne snutten var ikke Stortinget klar over på kjøpstidspunktet at de skaffet seg en løsning som var eksluderende for visse grupper. Leverandøren vil heller ikke endre på løsningen, slik at Stortinget nå må løse saken selv:

 

- Dersom deres nett-tjenester ikke er tilgjengelig for Mac og Linux-brukere, hvorfor har dere valgt en teknisk løsning som utelater disse brukerne?

 

Selve web-presentasjonen var en del av en større anskaffelse, hvor også selve produksjonen av lyd og bilde fra møter og høringer inngikk. Leverandørens tjeneste var bundet opp mot en teknisk løsning som satte noen uønskede begrensinger, og vi var dessverre ikke klar over de utfordringene vi ville møte for å gjøre denne tjenesten plattformuavhengig.

 

- Vurderer dere å endre på deres tekniske løsninger slik at nett-tjenesten deres er plattformuavhengig?

 

Vi har siden tjenesten ble satt i drift vært i diskusjon med leverandøren for å få endret dette, men det har dessverre ikke ført frem. Vi har derfor startet arbeidet med å etablere en løsning der vi selv står for presentasjonen, slik at vi kan gjøre den plattformuavhengig. [...]

 

EFN-listen er forøvrig fritt tilgjengelig for alle å melde seg på. :)http://heim.ifi.uio.no/~thomas/lister/efn-listen.html

 

Ang. sikkerheten ved å offentliggjøre kildekoden, så er jeg enig med dem som sier at en åpen løsning er bra for sikkerheten. Eventuelle feil vil bli funnet fortere og dermed rettet fortere. Og nå er det jo ikke alle feil som er forbundet med sikkerheten og/eller personvernet heller. Evt. hackere som vil utnytte svakheter i systemet vil gjøre det uansett om koden er åpen eller ikke. Dessuten vil ikke kildekoden avsløre sikkerhetsmekanismene, bare metoden som brukes, og den er i all hovedsak offentlig og kjent fra før.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...