/dev/null - Overig

Netherlands commits to Free Software by default

25-04-2020, 22:24 door The FOSS, 61 reacties
Laatst bijgewerkt: 25-04-2020, 22:25
2020-04-24
Written by Nico Rikken

In an open letter to the Parliament, the Dutch minister for internal affairs Raymond Knops commits to a "Free Software by default" policy and underlines its benefits for society. Current market regulations shall be reworded to allow publishing Free Software by the government.

https://fsfe.org/news/2020/news-20200424-01.en.html

Ik zit te janken van puur geluk!
Reacties (61)
26-04-2020, 07:28 door karma4
...Ik zit te janken van puur geluk!
Blijf maar janken. Je hebt net met de appathon meegemaakt hoe dat woordgebruik ingezet wordt om kritiek bij een aanbesteding monddood te krijgen.
Het moest aanbesteed worden en kririek op de aanbesteding is ongewenst en inhoudelijke kritiek op de functionaliteit is ongewenst.
Eenvoudig voor elkaar te ktijgen als je evangelisten kan benutten.
26-04-2020, 07:37 door [Account Verwijderd]
Dit soort berichten komen eens in de zoveel jaar naar buiten. Open standaarden dit, meer vrije software gebruiken dat. Het zijn wederom mooie woorden, maar tot nu toe blijkt het in de praktijk niet te gebeuren.

Apps als DigiD app en Debat Direct [0] worden bijvoorbeeld niet openbaar gemaakt om 'veiligheidsredenen'. Het zou mij niet verbazen als alle software die de overheid gaat gebruiken spontaan onder deze uitzondering gaat vallen. We kunnen fraudeurs toch niet zomaar inzage geven in een software systeem als SyRI? Misschien ben ik te pessimistisch, maar tot ik de software repositories zie geloof ik het niet.

[0] https://tweakers.net/nieuws/164064/tweede-kamer-hoeft-broncode-van-debat-direct-app-niet-openbaar-te-maken.html
26-04-2020, 07:49 door Anoniem
Brief van de staatssecretaris:

Beleidslijn: open, tenzij
Ik sta achter het principe dat software die met publieke middelen is ontwikkeld, zoveel mogelijk aan de samenleving wordt teruggegeven. Het publiceren van de broncode komt ten goede aan algemene belangen, zoals minder verspilling, innovatie, meer economische bedrijvigheid, transparantie en informatieveiligheid. Tegelijkertijd is er nog weinig praktijkervaring met het vrijgeven van de broncode. Ook is voor een overheidsorganisatie niet altijd duidelijk welke kosten met het vrijgeven gemoeid zijn en of de baten zoals hiervoor genoemd zich daadwerkelijk manifesteren.

Het uitgangspunt van deze brief is dan ook: «open, tenzij». Mijn oproep aan overheden is om de broncode vrij te geven, tenzij er gegronde redenen zijn om het niet te doen, bijvoorbeeld als de belangen van nationale of openbare veiligheid zich daartegen verzetten of de benodigde vertrouwelijke werkwijze van de overheid, denk aan opsporing en toezicht,
worden geschaad. Dit moet goed doordacht en uitgewerkt zijn.

Daarnaast dienen overheidsorganisaties per geval in te schatten of de maatschappelijke baten van openstelling ten minste opwegen tegen de kosten van het vrijgeven van de broncode. Het vrijgeven van de bestaande code vraagt behoorlijk wat investeringen. In dat geval kan het raadzamer zijn om open source vooral in te zetten bij het bouwen van nieuwe systemen. Bij het afwegen van de kosten en baten is het verder van belang om scherp te hebben welke doelen en baten worden beoogd.

Daarnaast zal bij elk voornemen tot vrijgeven bezien moeten worden hoe dit zich verhoudt tot de Wet markt en overheid. Deze wet is in beginsel van toepassing als een bestuursorgaan economische activiteiten verricht. Hiervan kan bij het beschikbaar stellen van software en het vrijgeven van de broncode sprake zijn. Dit is het geval als de software wordt vrijgegeven door een bestuursorgaan. De Wet markt en overheid is niet van toepassing als anderen dan bestuursorganen (bijv. een open source bedrijf) de broncode vrijgeven.

https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2020Z06975&did=2020D14886
26-04-2020, 08:50 door karma4
Door Anoniem: ….Daarnaast dienen overheidsorganisaties per geval in te schatten of de maatschappelijke baten van openstelling ten minste opwegen tegen de kosten van het vrijgeven van de broncode. Het vrijgeven van de bestaande code vraagt behoorlijk wat investeringen. In dat geval kan het raadzamer zijn om open source vooral in te zetten bij het bouwen van nieuwe systemen. Bij het afwegen van de kosten en baten is het verder van belang om scherp te hebben welke doelen en baten worden beoogd. ….

De overheid is geen eigenaar van de broncode die ze door de externe leverancier laten ontwikkelen, Zie Brp Speer UWV verhalen. Voor gemeentelijke software is het belang dat elke gemeente het wiel zelf opnieuw uitvind en delen inkoopt te groot.
De aanbestedende partij en degene die het uitvoert hebben een gemeenschappelijk belang bij niet te veel openheid. Vrij standaard in dat soort relaties het is elders niet anders.
26-04-2020, 10:21 door The FOSS
Door karma4:
...Ik zit te janken van puur geluk!
Blijf maar janken.

Ja, van puur geluk! Mijn weekend kan niet meer stuk!
26-04-2020, 10:37 door karma4
Door The FOSS: Ja, van puur geluk! Mijn weekend kan niet meer stuk!
De faals: https://www.rijksoverheid.nl/actueel/nieuws/2017/11/29/broncode-programmatuur-operatie-basisregistratie-personen-openbaar dan wel https://www.nu.nl/internet/1926399/rijksoverheid-gaat-werken-met-open-source-software.html , https://zoek.officielebekendmakingen.nl/kst-26643-148.html En vervolgens …. blijf maar janken. Het toont je verslaving... helaas. Ik zou liever iets zien voor gedegen robuuste informatievoorziening.
26-04-2020, 10:45 door The FOSS

Dank je voor deze aanvullende voorbeelden van succesvol open source gebruik!
26-04-2020, 11:02 door karma4
Door The FOSS: Dank je voor deze aanvullende voorbeelden van succesvol open source gebruik!
Ik weet niet of je het doorhebt, ze faalden massaal in de informatievoorziening. Project geslaagd -> onbruikbaar afgedankt.
26-04-2020, 11:10 door The FOSS
Door karma4:
Door The FOSS: Dank je voor deze aanvullende voorbeelden van succesvol open source gebruik!
Ik weet niet of je het doorhebt, ze faalden massaal in de informatievoorziening. Project geslaagd -> onbruikbaar afgedankt.

Naah... Politiek en om politieke redenen.
26-04-2020, 11:20 door Anoniem
Door karma4:
Door The FOSS: Dank je voor deze aanvullende voorbeelden van succesvol open source gebruik!
Ik weet niet of je het doorhebt, ze faalden massaal in de informatievoorziening. Project geslaagd -> onbruikbaar afgedankt.

ik weet niet of JIJ het door hebt; als deze dingen niet openbaar werden gemaakt, ging de faal nu nog door en koste het ons allemaal (incluis jouw) veel belasting centen!


daglicht: zij die het niet verdragen kunnen zijn de werkelijke vampieren in de samenleving!
26-04-2020, 12:26 door Anoniem
Door Anoniem:
Door karma4:
Door The FOSS: Dank je voor deze aanvullende voorbeelden van succesvol open source gebruik!
Ik weet niet of je het doorhebt, ze faalden massaal in de informatievoorziening. Project geslaagd -> onbruikbaar afgedankt.

ik weet niet of JIJ het door hebt; als deze dingen niet openbaar werden gemaakt, ging de faal nu nog door en koste het ons allemaal (incluis jouw) veel belasting centen!


daglicht: zij die het niet verdragen kunnen zijn de werkelijke vampieren in de samenleving!

Er zijn natuurlijk meerdere lijnen waarlangs het project gestopt al gestopt had kunnen / moeten worden.
Een daarvan kan de openbare inkijk in de software zijn.
Een andere kan de openbare inkijk in foute keuzes rondom software zijn.
Een andere kan de openbare inkijk in projecten/software fout starten zijn.
Een andere kan de openbare inkijk in foute software/projecten starten zijn.
Een andere kan de openbare inkijk in foute beslissers zijn.
Een andere kan de openbare inkijk in fouten zijn maar als beslissers de cardinale fouten van je voorgangers niet willen kennen / toepassen.
Een andere kan zijn als teamleider van de minister fouten niet daadwerkelijk tijdig aan de buitenwereld openbaren maar net zo lang wachten totdat de buitenwereld aan de bel trekt en dan maar even je aandacht aan op wilt richten, zodat het ergens in de stapel to-do's past om te kunnen zeggen, toen zag ik dat toch echt anders en ik had echt geen last van visie.
enzovoorts.
26-04-2020, 12:35 door Anoniem
Voel je puur geluk omdat niemand misschien nog door kan hebben wat hierna volgt?
Zolas alles lekker uitbesteden aan publiekelijk beschikbare zichzelf oneindig herhalende keuze mechnaismen?
Zoals dat soort systemen al nauwelijks strikt en exacte reconstrueerbare info situaties creeren waarvan je alleen met een dikke vinger de fout op de kwetsbare plek kan leggen?
Of zat je met hete hangijzers waar je al jaren lang niet mee aan de slag kon gaan omdat de software niet vrij was?
26-04-2020, 12:59 door Ron625 - Bijgewerkt: 26-04-2020, 13:00
Door iatomory: Open standaarden dit, meer vrije software gebruiken dat. Het zijn wederom mooie woorden, maar tot nu toe blijkt het in de praktijk niet te gebeuren.
Het gebruik van OpenStandaarden door overheden en gesubsidieerde instellingen in de communicatie naar burgers en onderling, is wettelijk verplicht !
Zie hiervoor de websites van de rijksoverheid, Logius, Forumstandaardisatie, enz......

Door karma4: De overheid is geen eigenaar van de broncode die ze door de externe leverancier laten ontwikkelen
Dat komt door de auteursrechten.
In België is het beter geregeld, daar geldt dat software ook data is en dus in principe openbaar,wanneer het over software van de overheid gaat.

Ter info: OpenSource hoeft niet gratis te zijn en zonder licentie rechten mag je ook niet aanpassen, anders dan op je eigen PC.
Het gaat alleen om de verkrijgbaarheid van de broncode.
Het kan wel helpen, om niet steeds het wiel uit te vinden.......
26-04-2020, 13:32 door karma4 - Bijgewerkt: 26-04-2020, 13:35
Door Ron625: Het gebruik van OpenStandaarden door overheden en gesubsidieerde instellingen in de communicatie naar burgers en onderling, is wettelijk verplicht !
Zie hiervoor de websites van de rijksoverheid, Logius, Forumstandaardisatie, enz...…
Open standaarden is heel wat anders dan open source. Zie bijvoorbeeld Stuf Digikoppeling en de basisregistratie. Met stuf is er iets dusdanig complex neergezet dat er en afhankelijkheid van externe leveranciers zoals Centric opgelegd is.

Door karma4: ]Dat komt door de auteursrechten. In België is het beter geregeld, daar geldt dat software ook data is en dus in principe openbaar,wanneer het over software van de overheid gaat.
Nou nee. Neem Logius forumstandaardisatie de interfaces, open en in beheer bij de overheid, zijn dusdanig complex dat alleen extern leveranciers dat nog kunnen opbrengen. Omdat die het niet voor niets doen ontstaat er een gesloten markt voor de ca 300 gemeentes. Er is open voor gekozen de ICT buiten de deur te zetten wegens het te gesloten gedrag. Die keus valt moeilijk terug te draaien het is niet makkelijk alle lokale koninkrijkjes op te heffen en er iets naders neer te zetten. De ervaringen met de ICT politie zijn daar een mooi voorbeeld van.


Door Anoniem:
ik weet niet of JIJ het door hebt; als deze dingen niet openbaar werden gemaakt, ging de faal nu nog door en koste het ons allemaal (incluis jouw) veel belasting centen!
daglicht: zij die het niet verdragen kunnen zijn de werkelijke vampieren in de samenleving!
Ik heb heel goed daar dat het falen met open source constant doorgaat gezien de stroom van mislukte overheidsprojecten. Hoeveel wil er van hebben? Schenken CBR UWV BRP Rechtspraak Het is lastig om iets te vinden wat wel echt goed gaat.
26-04-2020, 13:49 door Anoniem
Door The FOSS: 2020-04-24
Written by Nico Rikken

In an open letter to the Parliament, the Dutch minister for internal affairs Raymond Knops commits to a "Free Software by default" policy and underlines its benefits for society. Current market regulations shall be reworded to allow publishing Free Software by the government.

https://fsfe.org/news/2020/news-20200424-01.en.html

Ik zit te janken van puur geluk!
Last van je emotie tijdens de corona crisis? Als je hierom al zit te janken, dan heb je misschien last van een kleine emotionele instabiliteit.

Dit is min of meer al jaren het beleid. Enige nadeel is, de meeste software die ze nodig hebben, is vaak geen opensource.

Door The FOSS:
Door karma4:
Door The FOSS: Dank je voor deze aanvullende voorbeelden van succesvol open source gebruik!
Ik weet niet of je het doorhebt, ze faalden massaal in de informatievoorziening. Project geslaagd -> onbruikbaar afgedankt.

Naah... Politiek en om politieke redenen.
Maar het maakt hierin geen verschil tussen open source of close source software. Er zal hierin dus geen verbetering optreden.
26-04-2020, 16:40 door A.J.
Door The FOSS: 2020-04-24
Ik zit te janken van puur geluk!

Dan ben je emotioneel onstabiel.
26-04-2020, 16:54 door [Account Verwijderd] - Bijgewerkt: 26-04-2020, 16:55
Door The FOSS: Ik zit te janken van puur geluk!

Tja, misschien, misschien, misschien zijn ze alle gemeuk van Microshaft spuugzat en hebben ze wijselijk besloten. Mijn water zegt me echter het tegenovergestelde.
26-04-2020, 18:51 door Anoniem
Hebben we die software ook nodig?
26-04-2020, 19:47 door [Account Verwijderd] - Bijgewerkt: 26-04-2020, 19:48
Door Ron625:Het gebruik van OpenStandaarden door overheden en gesubsidieerde instellingen in de communicatie naar burgers en onderling, is wettelijk verplicht !
Zie hiervoor de websites van de rijksoverheid, Logius, Forumstandaardisatie, enz......
Fun fact: Ik heb eens gevraagd om de broncode van een applicatie die gebruikt wordt in de communicatie tussen overheid en burgers bij Logius (DigiD app). Nou, die krijg je dus niet. Zoals ik schreef: het is allemaal mooi op papier, maar als puntje bij paaltje komt gaat het gewoon niet gebeuren. Die broncode krijg je niet, ook niet als je heel hard 'wettelijke verplichting' of 'open, tenzij' gaat roept.

En voor iemand de 'veiligheidsredenen' gaat noemen, lees dan eerst eens wat Kerckhoffs's principle betekent. De veiligheid van van software (zoals de DigiD app) mag NIET afhangen van het feit dat de broncode gesloten blijft. Ook zal het 'app kopieën' niet helpen: daar is de walled garden van de Google Play Store/Apple App Store en in het algemeen een vertrouwd installatie kanaal voor. Als je een kloon wilt maken om gegevens te phishing heb je de broncode ook helemaal niet nodig: je hoeft alleen de interface na te maken. Echter is 'voor de veiligheid' een vrij eenvoudige reden om op te geven om broncode niet openbaar te maken, je hoeft dat immers toch niet te onderbouwen met argumenten. Het moet dus ook geen verassing zijn dat 'veiligheid' een van de expliciet genoemde uitzonderingen is bij deze 'commitment'.
27-04-2020, 10:20 door [Account Verwijderd] - Bijgewerkt: 27-04-2020, 10:34
Door The FOSS: 2020-04-24
Written by Nico Rikken

In an open letter to the Parliament, the Dutch minister for internal affairs Raymond Knops commits to a "Free Software by default" policy and underlines its benefits for society. Current market regulations shall be reworded to allow publishing Free Software by the government.

https://fsfe.org/news/2020/news-20200424-01.en.html

Ik zit te janken van puur geluk!

Ik hoop zo dat het dit keer geen loze woorden zijn, maar ik vrees het ergste.

Zie: https://nl.wikipedia.org/wiki/Motie-Vendrik. De motie is van 2002 (mede een initiatief van Arjen Kamphuis RIP). Sindsdien zijn er allerlei praatgroepjes geweest die voor tonnen aan dure lunches en heisessies hebben verdampt en tot op de dag van vandaag lukt het de overheid nog niet eens om M$ Office te verlaten of ook maar by default het open document format te gebruiken.

Nobele woorden van meneer Knops, maar ik vrees dat het bij woorden blijft, hoewel ik het net als jij, heel graag anders zou willen zien.
27-04-2020, 10:33 door Ron625
Door iatomory:
Door Ron625:Het gebruik van OpenStandaarden door overheden en gesubsidieerde instellingen in de communicatie naar burgers en onderling, is wettelijk verplicht !
Zie hiervoor de websites van de rijksoverheid, Logius, Forumstandaardisatie, enz......
Fun fact: Ik heb eens gevraagd om de broncode van een applicatie die gebruikt wordt in de communicatie tussen overheid en burgers bij Logius (DigiD app). Nou, die krijg je dus niet. Zoals ik schreef: het is allemaal mooi op papier, maar als puntje bij paaltje komt gaat het gewoon niet gebeuren. Die broncode krijg je niet, ook niet als je heel hard 'wettelijke verplichting' of 'open, tenzij' gaat roept.
Wat heeft de broncode te maken met een OpenStandaard?
OpenSource gaat over de beschikbaarheid van de broncode,
OpenStandaard gaat over afspraken,
OpenData gaat over de openbaarheid van gegevens.
Dit zijn dus drie verschillende dingen !
27-04-2020, 11:27 door [Account Verwijderd]
Door Ron625:
Door iatomory:
Door Ron625:Het gebruik van OpenStandaarden door overheden en gesubsidieerde instellingen in de communicatie naar burgers en onderling, is wettelijk verplicht !
Zie hiervoor de websites van de rijksoverheid, Logius, Forumstandaardisatie, enz......
Fun fact: Ik heb eens gevraagd om de broncode van een applicatie die gebruikt wordt in de communicatie tussen overheid en burgers bij Logius (DigiD app). Nou, die krijg je dus niet. Zoals ik schreef: het is allemaal mooi op papier, maar als puntje bij paaltje komt gaat het gewoon niet gebeuren. Die broncode krijg je niet, ook niet als je heel hard 'wettelijke verplichting' of 'open, tenzij' gaat roept.
Wat heeft de broncode te maken met een OpenStandaard?
OpenSource gaat over de beschikbaarheid van de broncode,
OpenStandaard gaat over afspraken,
OpenData gaat over de openbaarheid van gegevens.
Dit zijn dus drie verschillende dingen !

Precies, Als ik mij goed herinner is er geen enkele verplichting voor de overheid om open source software te gebruiken. Ook geen nee, tenzij beleid.

Voor open standaarden geld wel een nee, tenzij beleid en open data is nog steeds een onmogelijkheid in dit land, het is er , maar het is nog lang niet gebruikelijk. Onze overheid blijft moeite hebben om de burgers open en transparant te informeren.

Ik verbaas me nog steeds dat je moet wobben om informatie te krijgen, terwijl alles openbaar te maken zou zijn. Waar niet? En waarom zoveel barrières bij een wob? Waarom nog steeds bij veel overheidsinstanties verplicht snailmail gebruiken?
27-04-2020, 11:50 door [Account Verwijderd]
Door Ron625:Wat heeft de broncode te maken met een OpenStandaard?
OpenSource gaat over de beschikbaarheid van de broncode,
OpenStandaard gaat over afspraken,
OpenData gaat over de openbaarheid van gegevens.
Dit zijn dus drie verschillende dingen !

Ik zie inderdaad dat ik je opmerking verkeerd gelezen heb. Neemt niet weg dat er genoeg open standaarden zijn die hier gebruikt hadden kunnen worden, in plaats van een gesloten app: Gebruikers naam en wachtwoord, TOTP/HOTP voor 2FA, WebAuthn of Client Certificates voor hogere beveiligingsniveaus. Helaas lijkt het Forum Standaardisatie daar, in tegenstelling tot de experts van het NCSC, nog niet in geïnteresseerd.
27-04-2020, 13:18 door Ron625
Door EnGeeX:Waarom nog steeds bij veel overheidsinstanties verplicht snailmail gebruiken?
E-mail kent geen leesbevestiging en geen ontvangstbevestiging, je kunt hooguit zien dat het op een computer is gelezen, maar waar die computer staat en wie er achter zit is onduidelijk, dit in tegenstelling tot een brievenbus.
Daarnaast kennen we wel het briefgeheim, maar dat geldt alleen voor papier en niet voor elektronische berichten.
Aan wetgeving hierover wordt gewerkt, maar zoals gewoonlijk loopt de wetgeving vele jaren achter op de techniek..........
27-04-2020, 17:04 door souplost - Bijgewerkt: 27-04-2020, 17:06
Ga het eerst maar eens de VGN wijsmaken. Deze vereniging van Nederlandse gemeenten is een schoothondje van Microsoft.
Beleidsmedewerkers krijgen regelmatig reisjes aangeboden om zogenaamd in de keuken te kijken hoe fantastisch Microsoft werkt aan hun spagaat probleem. Letterlijke MS tekst: "gebruikers wensen een productiviteits- en communicatieplatform om in- en extern snel en effectief te kunnen samenwerken. Bij voorkeur op ieder device en vanaf elke locatie. Dit betekent voor security; het oude kasteelprincipe (oftewel perimeter beveiliging) brokkelt af en de organisatie wordt blootgesteld aan nieuwe informatiebeveiligingsrisico’s."
Die tekst zou zo uit de open source koker kunnen komen. Echter, het probleem wat MS hier aankaart is exact van toepassing op het MS kasteel. Dat is nog niet tot de VGN doorgedrongen of men is corrupt.
Men is er weer ingetrapt en denkt een oplossing te hebben op ieder device (jaja ms tekst) vanaf elke locatie.
Kan iemand dit nieuwe project nu dan stoppen of is men weer te laat?: https://pulse.microsoft.com/nl-nl/work-productivity-nl-nl/government-nl-nl/fa1-vng-en-microsoft-werken-samen-aan-ontwikkeling-moderne-veilige-overheidswerkplek/
27-04-2020, 17:12 door Anoniem
Door iatomory:
Door Ron625:Wat heeft de broncode te maken met een OpenStandaard?
OpenSource gaat over de beschikbaarheid van de broncode,
OpenStandaard gaat over afspraken,
OpenData gaat over de openbaarheid van gegevens.
Dit zijn dus drie verschillende dingen !

Ik zie inderdaad dat ik je opmerking verkeerd gelezen heb. Neemt niet weg dat er genoeg open standaarden zijn die hier gebruikt hadden kunnen worden, in plaats van een gesloten app: Gebruikers naam en wachtwoord, TOTP/HOTP voor 2FA, WebAuthn of Client Certificates voor hogere beveiligingsniveaus. Helaas lijkt het Forum Standaardisatie daar, in tegenstelling tot de experts van het NCSC, nog niet in geïnteresseerd.
Je probeert nu al met technische oplossingen bezig, terwijl digid hele andere requiments heeft.

Onderwater is het ook gewoon een TOTP, maar je kunt niet zomaar je eigenlijk interface hiervoor bouwen. Ik denk persoonlijk met goede redenen. Daarnaast webAuthn, is veel te nieuw en staat nog in het begin van de acceptatie en heeft veel afhankelijkheden. . Apple ondersteund het bijvoorbeeld pas sinds korts. Client Certificates, is zwaar gebruiksvriendelijk.

Dus er is een goede redenen voor de huidige DigiD oplossing.
27-04-2020, 17:59 door karma4
Door souplost: Ga het eerst maar eens de VGN wijsmaken. Deze vereniging van Nederlandse gemeenten is een schoothondje van Microsoft. ...
Zo ver ik het volg hangen de gemeentes met de open standaarden vast aan leveranciers zoals Centric.
Die komt met alle open source over de brug waarna er een spagaat ontstaat dat zelfs belsissers iets doorkrijgen. Een opmerking dat de data in de software zit, geeft aan hoe ver het onbegrip van informatieverwerking weggezakt is.
Tja dat soort evangelisten die niet verder kunnen kijken dan four legs good two legs bad daar moet je het niet van hebben.
27-04-2020, 18:23 door Anoniem
@karma4 & @The FOSS,

Verduidelijken gebeurt vaak het best aan de hand van een concreet voorbeeldje. Vooruit dan maar.

Open source software methoden worden vaak succesvol ingezet waar propriety software het laat afweten.
Bijvoorbeeld bij symlink race kwetsbaarheden met kans op EoP aanvallen.
Daar heeft open source vaak wel beveiligingsmethoden waar Google Chrome op Windows 10
bijvoorbeeld het nogal eens finaal laat afweten (juist ja ook allerlei AV-oplossingen dus).

Ik begrijp dus het aanvankelijk enthousiasme van The FOSS,
maar moet anderszins zijn vreugde weer temperen met de hierboven aangehaalde
en genoemde "symlink race kwetsbaarheid".

Daaraan hebben velen sinds 2013 nog niets of bitter weinig gedaan.
Mooie praat, maar te weinig wol.

Wat vind je in zo'n geval belangrijker je Windows OS- of je browser-security?

Er kon naturrlijk best policy aanpassingen via allerlei security hardening maatregelen
(security headers, link content security hardening enz.) worden ingezet.
Maar nog steeds blijft het woord gewillig maar het digitale vlees blijft zwak.
Daar zit men dus veeelal op, op het digitale achterwerk ;) (iron. bedoeld).
Ook dus van overheidswege, denk ik?

luntrus
27-04-2020, 19:15 door Anoniem
Door souplost: Ga het eerst maar eens de VGN wijsmaken. Deze vereniging van Nederlandse gemeenten is een schoothondje van Microsoft.
Beleidsmedewerkers krijgen regelmatig reisjes aangeboden om zogenaamd in de keuken te kijken hoe fantastisch Microsoft werkt aan hun spagaat probleem. Letterlijke MS tekst: "gebruikers wensen een productiviteits- en communicatieplatform om in- en extern snel en effectief te kunnen samenwerken. Bij voorkeur op ieder device en vanaf elke locatie. Dit betekent voor security; het oude kasteelprincipe (oftewel perimeter beveiliging) brokkelt af en de organisatie wordt blootgesteld aan nieuwe informatiebeveiligingsrisico’s."
Die tekst zou zo uit de open source koker kunnen komen. Echter, het probleem wat MS hier aankaart is exact van toepassing op het MS kasteel. Dat is nog niet tot de VGN doorgedrongen of men is corrupt.
Men is er weer ingetrapt en denkt een oplossing te hebben op ieder device (jaja ms tekst) vanaf elke locatie.
Kan iemand dit nieuwe project nu dan stoppen of is men weer te laat?: https://pulse.microsoft.com/nl-nl/work-productivity-nl-nl/government-nl-nl/fa1-vng-en-microsoft-werken-samen-aan-ontwikkeling-moderne-veilige-overheidswerkplek/
Er zijn ook maar zeer weinig leveranciers die alles onder 1 stack kunnen aanbieden en beheren.

Als jij een vervanging kan adviseren, voor Azure AD, Intune, Auto pilote, Office 365, Teams, Sharepoint, ATP? Welke ik natuurlijk ook niet zelf aan elkaar hoeft te knutselen?

Voor de KA desktop, lopen andere leveranciers gewoon jaren achter.
27-04-2020, 21:01 door Ron625
Door Anoniem:
Open source software methoden worden vaak succesvol ingezet waar propriety software het laat afweten.
Het is niet voor niets, dat de overheid zegt, dat bij gelijke geschiktheid OpenSource de voorkeur heeft.
Zodra één van beiden beter is dan de ander is het duidelijk, maar hoe e.e.a. bepaald wordt is aan de beslissers, dus........
27-04-2020, 21:34 door souplost
Door Ron625:
Door Anoniem:
Open source software methoden worden vaak succesvol ingezet waar propriety software het laat afweten.
Het is niet voor niets, dat de overheid zegt, dat bij gelijke geschiktheid OpenSource de voorkeur heeft.
Zodra één van beiden beter is dan de ander is het duidelijk, maar hoe e.e.a. bepaald wordt is aan de beslissers, dus........
Bij gelijke geschiktheid blijkt een onzin begrip. Je moet het veel meer zien als een stip aan de horizon waar je naar toe wil.
LIbreoffice is in die zin per definitie niet gelijkwaardig omdat het maar niet wil lukken met het default bestandsformaat van MSOffice. Na 18 jaar stikt het nog steeds van de leveranciersspecifieke formaten op websites van de overheid, om het maar niet over intern te hebben. Gemeente Ede is er volgens mij mee gestopt door de onwil van externen om met een open standaard te communiceren.
Er zijn te veel haviken die geld verdien aan de keuze voor windows en security who cares. Daarnaast is er nog nooit iemand ontslagen voor het gebruik van windows zelfs als alle servers zijn versleuteld mag men gewoon verder.
Ga je voor iets anders dan mag er ook niets verkeerd gaan want de haviken zitten er boven op met nepnieuws, ondanks dat Microsoft producten elke maand verkeerd gaan. Je kan ook verwachten dat MS een sniffer in het netwerk eist op basis van oude contracten want gebruik van Libreoffice dat geloven en willen ze niet. Ze gaan vinden dat jij wel ergens niet in compliance bent want MS licenties zijn ondoorgrondelijk.
Daarom is het ook zo fijn als je geen licenties meer hoeft te managen. Geen Exchange die zich zelf uit zet! en wil opwaarderen naar een duurdere licentie omdat max storage is bereikt. Scheelt een hoop tijd en geld en ergenis.
Kortom je bent er niet zo maar van af en een hybrideoplossing is gedoemd om te mislukken.
Nederlan bevrijdt je zelf van deze Amerikaanse marketing machine.

Het enige wat zou kunnen helpen om dit oligopolie te doorbreken is een windowsvirus dat alle bestanden verwijderd incl de backup. Dit is nog niet gebeurd omdat criminelen geld willen verdienen met ontsleutelen waar wij weer voor opdraaien. Mocht het wel wereldwijd gebeuren dan zal er waarschijnlijk een OUTbreak team klaarstaan onder leiding van Microsoft om alles weer te herstellen zo als het was en zijn we weer terug bij af en roept er weer iemand misschien moeten we eens open standaarden gaan verplichten met sancties.
27-04-2020, 22:15 door Anoniem
@souplost

Maar er zijn wel degelijk mitigatie-oplossingen voorhanden, bijvoorbeeld bij JavaScript: https://stackoverflow.com/questions/338110/avoiding-a-javascript-race-condition
en deze https://medium.com/@slavik57/async-race-conditions-in-javascript-526f6ed80665

Het mooiste zou zijn als men zou gaan inzien dat security mitigation prioriteit zou moeten hebben boven andere zaken.

Dus niet het koste wat het kost verdedigen van gevestigde belangen van aandeelhouders en durf-kapitalisten,
samen met de daarmee collaborerende krachten natuurlijk. De gehandhaafde status-quo in digi-code-land.

Voor de smeer likt de code-kat wederom steeds weer de kandeleer!
Zelfs elke oppositie tussen Google en MS ontbreekt in zulke gevallen,
Ze bijten elkander dan zeker niet deze Big Corporations.
De tussenlaag wordt eerder weggevaagd, opgekocht of het moeras in gefietst.

Je hoopt op competitie en innovatie, dat kon winnen, maar tevergeefs.
Protectionisme en vooral streven naar wereldhegemonie - total domination is the name of the game.

Backward compatibilty issues ook zoiets.
Ik zeg nogmaals""Wat is u liever een OS of een goedwerkende veilige browser op datzelfde OS?".

De Stones zongen er all over: "You can't always get what you want".
End of story but still without a happy ending.

luntrus
27-04-2020, 22:26 door Ron625
Door souplost:Gemeente Ede is er volgens mij mee gestopt door de onwil van externen om met een open standaard te communiceren.
Daar kan ik op hun website niets van ontdekken.
Heb je een link van een file, die niet (tevens) in een OpenStandaard wordt aangeboden?
Een overheid die zich niet aan de (eigen) regels houdt, kan dit m.i. ook niet van de burgers verwachten.
Door souplost:en roept er weer iemand misschien moeten we eens open standaarden gaan verplichten met sancties.
Daar was een voorstel van de PvdA (motie van Astrid Oosenbrug), het lag al bij de eerste-kamer, maar het wel erg stil daarover, de laatste 3 jaar..........
27-04-2020, 23:07 door Anoniem
Door Ron625:
Door souplost:Gemeente Ede is er volgens mij mee gestopt door de onwil van externen om met een open standaard te communiceren.
Daar kan ik op hun website niets van ontdekken.
Heb je een link van een file, die niet (tevens) in een OpenStandaard wordt aangeboden?
Een overheid die zich niet aan de (eigen) regels houdt, kan dit m.i. ook niet van de burgers verwachten.
Door souplost:en roept er weer iemand misschien moeten we eens open standaarden gaan verplichten met sancties.
Daar was een voorstel van de PvdA (motie van Astrid Oosenbrug), het lag al bij de eerste-kamer, maar het wel erg stil daarover, de laatste 3 jaar..........
Vreemde redenatie hier. Als de overheid iets ,op welk terrein dan ook, iets willen regelen ,vallen de reaguurders hier over elkaar heen om te zeggen hoe vreselijk dat is en NU willen jullie dat de overheid opensource gaat verplichten? Oh ja, het gaat nu om jullie speeltje, opensource!
28-04-2020, 00:19 door Anoniem
@ron625,

We moeten dan wel even terug in de tijd gaan om te komen tot een moment,
waar zaken als race condities nog gewoon openlijk bespreekbaar waren
en aangedragen werden vanuit de linux resource-hacker-wereld.

Zonder de interferentie van de decisionmakers met voorkeuren voor de dozenschuivers uit de Big Global IT hoek,
die nog niet zo uniek op de voorgrond stonden en een totale dominantie hadden verworven.
Ze waren al wel bezig zoals de lieden van IBM, maar nog niet zo uitgesproken.
Het werd eigenlijk pas bij de grote massa's "ingevoerd" vooraleer het bij hen "ingegoten" zou worden. (iron.).

We kunnen inmiddels vaststellen, dat de heer B. Gates bovenal een giga-dozenschuiver en verkoper bleek te zijn.
Dat van iets dat hij ook maar verworven had, net als al die anderen, die als eerdere telefoonfluitjeshackers waren ingestapt
(Apple, Microsoft, McAfee met uit hackerskringen geboren, maar niet van vrije gelovigen gebleven software).

Dit was 2003 vanuit de Hackers Hut van de Techn. Universiteit Eindhoven al bekend:
->https://www.win.tue.nl/~aeb/linux/hh/hh-9.html
Antiek weten, dit alles, maar nog steeds boeiend en nog steeds actueel helaas.

Daar vind je ook de klassiek geworden H00lyshit exploit.
Zeventien jaar verder en we zitten nog steeds in dezelfde open source versus propriety closed source spagaat.

Leuk als we die even af konden doen , die spagaat dan, om gewoon plaats te kunnen nemen om de echte veiligheidsdiscussie te kunnen aangaan (iron.). Daar snakt ondergetekende nu naar. Wie niet eigenlijk?

luntrus
28-04-2020, 12:40 door [Account Verwijderd]
Door Ron625:
Door EnGeeX:Waarom nog steeds bij veel overheidsinstanties verplicht snailmail gebruiken?
E-mail kent geen leesbevestiging en geen ontvangstbevestiging, je kunt hooguit zien dat het op een computer is gelezen, maar waar die computer staat en wie er achter zit is onduidelijk, dit in tegenstelling tot een brievenbus.
Daarnaast kennen we wel het briefgeheim, maar dat geldt alleen voor papier en niet voor elektronische berichten.
Aan wetgeving hierover wordt gewerkt, maar zoals gewoonlijk loopt de wetgeving vele jaren achter op de techniek..........

Mijn brievenbus kens geen leesbevestiging, noch een ontvangstbevestiging. In het laatste geval zou je dit kunnen waarborgen door aangetekend te versturen, maar ik ben dit nog niet tegen gekomen als verplichting bij het aanvragen van een WOB verzoek. Mijn theorie is dat het versturen van een brief slechts als barrière gebruikt wordt om burgers te demotiveren om een WOB verzoek in te dienen.
28-04-2020, 12:47 door Anoniem
Door iatomory:
Door Ron625:Het gebruik van OpenStandaarden door overheden en gesubsidieerde instellingen in de communicatie naar burgers en onderling, is wettelijk verplicht !
Zie hiervoor de websites van de rijksoverheid, Logius, Forumstandaardisatie, enz......
(..)
En voor iemand de 'veiligheidsredenen' gaat noemen, lees dan eerst eens wat Kerckhoffs's principle betekent. De veiligheid van van software (zoals de DigiD app) mag NIET afhangen van het feit dat de broncode gesloten blijft. Ook zal het 'app kopieën' niet helpen: daar is de walled garden van de Google Play Store/Apple App Store en in het algemeen een vertrouwd installatie kanaal voor. Als je een kloon wilt maken om gegevens te phishing heb je de broncode ook helemaal niet nodig: je hoeft alleen de interface na te maken. Echter is 'voor de veiligheid' een vrij eenvoudige reden om op te geven om broncode niet openbaar te maken, je hoeft dat immers toch niet te onderbouwen met argumenten. Het moet dus ook geen verassing zijn dat 'veiligheid' een van de expliciet genoemde uitzonderingen is bij deze 'commitment'.

Principe van Auguste Kerckhoffs ... je bent mij voor ;-) Mag ik dit een beetje aanvullen:
https://nl.wikipedia.org/wiki/Principe_van_Kerckhoffs
... een principe uit de cryptografie dat geformuleerd werd door Auguste Kerckhoffs in de 19e eeuw:
een versleutelingssysteem moet veilig zijn zelfs als alle details van het systeem, behalve de sleutel, publiek bekend zijn (..) ofwel je moet een systeem ontwerpen onder de aanname dat de vijand onmiddellijk volledig met het systeem bekend zal zijn. Het wordt als een basisregel gebruikt door specialisten in geheimschrift en staat in tegenstelling tot "security through obscurity".
Grappig detail: Auguste Kerckhoffs is geboren in Nuth (Zuid Limburg), en Wikipedia is open source.

Een voorbeeld van "open source" in combinatie met security en cryptografie is Signal. Daarvoor is steeds meer aandacht nadat WhatsApp door Facebook is overgenomen, dus het voorziet in een behoefte. Gedreven door afnemend vertrouwen in WhatsApp.

De Appathon laat zien dat er toch ook bij de overheid aandacht is voor "open source" als het gaat om het vertrouwen in een software product: alleen als de broncode openbaar is kan je een softwareproduct onderzoeken en eventueel vertrouwen. KPMG heeft de broncode van bijna alle Corona-Apps onderzocht:
https://www.security.nl/posting/653153/Securitytest+van+%27corona-apps%27+levert+meerdere+kwetsbaarheden+op
Doordat VWS eiste dat de broncode "open source" moest zijn kwamen deze kwetsbaarheden aan het licht.
Dus de volgorde is een 1-2-3tje:
1. open source broncode,
2. onderzoek van deze broncode
3. en bij goede resultaten daarvan pas vertrouwen in de software.

Deze Corona-crisis is een gamechanger op diverse gebieden.
"Outsourcen" is niet meer zo vanzelfsprekend, we maken nu ook in Nederland weer zelf mondkapjes in eigen beheer.
VWS stelt als eis aan een te ontwikkelen Corona-App 2.0 dat de broncode open source is.
https://www.security.nl/posting/653533/Overheid+laat+experts+nieuwe%2C+open+source+corona-app+ontwikkelen

Dat vertrouwen blijft dus belangrijk. We krijgen steeds meer een hekel aan closed-source aspecten zoals telemetry, backdoors en vendor-lockin.
28-04-2020, 13:13 door [Account Verwijderd] - Bijgewerkt: 28-04-2020, 13:14
Door Anoniem:
Vreemde redenatie hier. Als de overheid iets ,op welk terrein dan ook, iets willen regelen ,vallen de reaguurders hier over elkaar heen om te zeggen hoe vreselijk dat is en NU willen jullie dat de overheid opensource gaat verplichten? Oh ja, het gaat nu om jullie speeltje, opensource!

Ik ben zo'n open source fetisjist en gebruik zelf voor 98% open source applicaties (vooral driver ed. zijn in mijn geval closed source) en ik begrijp heel goed dat mijn situatie nauwelijks te vergelijken is met de situatie van een overheidsinstantie.

Ik vind in principe een open-source-tenzij strategie prima, maar ik zou wel mee inzet willen zien om daadwerkelijk open source te gebruiken.

Ik zou ook meer inzet willen zien van de nationale en Europese overheden om de afhankelijkheden van met name de Amerikaanse software bedrijven in te perken. In principe heeft een bedrijf als Microsoft nu een (machts)positie om te doen en te vragen wat ze willen en er is geen overheidsinstantie die ze de vinger kan geven en ze staan simpelweg met de rug tegen de muur. Noem het legale ransomware.

Zeg niet dat dit soort dingen niet gebeuren, Oracle eet een vet belegde boterham er van.
28-04-2020, 13:24 door The FOSS - Bijgewerkt: 28-04-2020, 13:24
Door souplost:
Door Ron625:
Door Anoniem:
Open source software methoden worden vaak succesvol ingezet waar propriety software het laat afweten.
Het is niet voor niets, dat de overheid zegt, dat bij gelijke geschiktheid OpenSource de voorkeur heeft.
Zodra één van beiden beter is dan de ander is het duidelijk, maar hoe e.e.a. bepaald wordt is aan de beslissers, dus........
Bij gelijke geschiktheid blijkt een onzin begrip. Je moet het veel meer zien als een stip aan de horizon waar je naar toe wil.
LIbreoffice is in die zin per definitie niet gelijkwaardig omdat het maar niet wil lukken met het default bestandsformaat van MSOffice.

Pandoc: https://pandoc.org/ En leveranciers van gesloten formaten moeten worden gedwongen om fatsoenlijke specificaties en zelfs libraries te leveren voor conversie van hun bestandsformaten.

Door souplost: Na 18 jaar stikt het nog steeds van de leveranciersspecifieke formaten op websites van de overheid, om het maar niet over intern te hebben. Gemeente Ede is er volgens mij mee gestopt door de onwil van externen om met een open standaard te communiceren. ...

Dat is dus inderdaad schandalig!
28-04-2020, 13:52 door Bitje-scheef
Door karma4:
Door The FOSS: Dank je voor deze aanvullende voorbeelden van succesvol open source gebruik!
Ik weet niet of je het doorhebt, ze faalden massaal in de informatievoorziening. Project geslaagd -> onbruikbaar afgedankt.

Overheid heeft een soort van flexibele scoop, politieke kronkel hier, politieke kronkel daar. Dan komen er nog "slimme" ambtenaren, die hun plasje doen waardoor het doel en de functie voorbijgeschoten wordt. Dus kun je het falen koppelen aan Open-Source; nee natuurlijk niet 80% is zeg maar "ambtsmisbruik", 20% falende begeleiding/implementatie. Functioneel heb ik echter sinds 2008 niet meer een Open-Source maar ook Closed-Source zien falen op technisch -niet- kunnen.
28-04-2020, 14:06 door Anoniem
Door The FOSS:

Pandoc: https://pandoc.org/ En leveranciers van gesloten formaten moeten worden gedwongen om fatsoenlijke specificaties en zelfs libraries te leveren voor conversie van hun bestandsformaten.

Door souplost: Na 18 jaar stikt het nog steeds van de leveranciersspecifieke formaten op websites van de overheid, om het maar niet over intern te hebben. Gemeente Ede is er volgens mij mee gestopt door de onwil van externen om met een open standaard te communiceren. ...

Dat is dus inderdaad schandalig!
Opvallend, dat degene met de grootste mond om privacy en hun privé rechten, het hardste brullen om anderen te dwingen om iets te doen, als het om hun speeltje gaat!
28-04-2020, 15:02 door karma4
Door Bitje-scheef: Overheid heeft een soort van flexibele scoop, politieke kronkel hier, politieke kronkel daar. Dan komen er nog "slimme" ambtenaren, die hun plasje doen waardoor het doel en de functie voorbijgeschoten wordt. Dus kun je het falen koppelen aan Open-Source; nee natuurlijk niet 80% is zeg maar "ambtsmisbruik", 20% falende begeleiding/implementatie. Functioneel heb ik echter sinds 2008 niet meer een Open-Source maar ook Closed-Source zien falen op technisch -niet- kunnen.
Als we het over server side processing hebben waar het echte werk op gebeurt. Gewoonlijk Linux Apache Mysql PHP LAMP.
Doe daar kubernetes Docker met wat GIT bij in een continous deployment met low code in Agile teams team leads en chapter leads met full stack approaches en devops dan heb je denk ik smart de star benadering beschreven.
Blijft mijn ergernis …. het is open source wat de dienstverlener in de NDA heeft staan. Je mag geen kritiek hebben.
28-04-2020, 15:25 door Anoniem
Maar deze flaws zijn nog steeds live & kicking: https://github.com/flsf/linux-exp-suggester
Exploit name eg. h00lyshit.

D.w.z. nooit aan te beginnen vanwege "het ontzaglijke gerammel en geklapper" dat het geeft bij uitvoering van de exploit.
Trouwens we richten ons op remedie van, niet het veroorzaken van. ;)

Zie de code, die zich bevindt op een pentester repositorium hier:
https://www.exploit-db.com/exploits/2013 (credit source: offsecu linux kernel security)

Gaan we nu echt mensen opleiden met werkelijk oog voor en inzicht in kwetsbaarheden
en de daaruit volgende juiste security mitigatie of.....moeten ze liever toch weer hun mond houden?

Zijn hun inzichten verspilde moeite vanwege dozenschuivers en andere belanghebbenden van het handhaven van de status-quo als profiteurs van de grote massa van de "dumbed down" in onze vnml. "getrainde aapjes" wereld?

Uit een draadje als de bovenstaande blijkt dus wel weer dat de bestaande discrepantie vrijwel niet te doorbreken valt.
Je moet ook steeds verder zoeken naar info voor gedegen argumentatie.

Veel is voorgoed weggestopt of getraineerd en veel relevante info resideert in bijvoorbeeld slechts in online archieven.
(-archive.is). De (openstaande) vragen blijven er echter voortdurend, net als PHP en JavaScript. (iron.).

luntrus
28-04-2020, 17:09 door Anoniem
Mis ik de grap?
Datum: Oct 20 2014, 6 years ago ...
Kernel 2.6
Serieus? versie 18.04 heeft als kernel al 4.15 ... time flies ...
29-04-2020, 00:25 door Anoniem
De gemiste grap is dat deep-symlink-race-condition flaws nog steeds operationele systemen parten kunnen spelen.
Vele av oplossingen kunnen problemen opleveren bij Windows 10 onder meer.
Wat kon het eerst starten de veilige toepassing of de malcode?

Recent weer in het nieuws gekomen, dit al langer optredend probleem.

Het historisch overzicht was om aan te geven, waar deze probleempjes het eerst werden opgemerkt.

Waar het ene OS is gepatcht is het andere dat nog niet vanzelfsprekend, zeker niet als het locked-in is.
Locked-in wat een "rot term" is dat zo de laatste weken niet geworden, maar dat is another kettle-of-fish (no PHISH).

luntrus
29-04-2020, 10:31 door souplost
Door karma4:
Door Bitje-scheef: Overheid heeft een soort van flexibele scoop, politieke kronkel hier, politieke kronkel daar. Dan komen er nog "slimme" ambtenaren, die hun plasje doen waardoor het doel en de functie voorbijgeschoten wordt. Dus kun je het falen koppelen aan Open-Source; nee natuurlijk niet 80% is zeg maar "ambtsmisbruik", 20% falende begeleiding/implementatie. Functioneel heb ik echter sinds 2008 niet meer een Open-Source maar ook Closed-Source zien falen op technisch -niet- kunnen.
Als we het over server side processing hebben waar het echte werk op gebeurt. Gewoonlijk Linux Apache Mysql PHP LAMP.
Doe daar kubernetes Docker met wat GIT bij in een continous deployment met low code in Agile teams team leads en chapter leads met full stack approaches en devops dan heb je denk ik smart de star benadering beschreven.
Blijft mijn ergernis …. het is open source wat de dienstverlener in de NDA heeft staan. Je mag geen kritiek hebben.
Als ik jou was zou ik eerst wat aan je Nederlands gaan doen.
29-04-2020, 11:16 door karma4
Door Anoniem: De gemiste grap is dat deep-symlink-race-condition flaws nog steeds operationele systemen parten kunnen spelen.
...
Waar het ene OS is gepatcht is het andere dat nog niet vanzelfsprekend, zeker niet als het locked-in is.
Locked-in wat een "rot term" is dat zo de laatste weken niet geworden, maar dat is another kettle-of-fish (no PHISH).

luntrus
Inderdaad onderbelicht. Ik zag hem elders goed uitgelegd waar het zo eenvoudig mis gaat.
Problemen in de gebeurtenissen acties en reacties over de tijd. Kom je er op het goed moment tussen dan …..
Het lijkt me dat de enige opties is dat actie-reactie altijd in de zelfde security context loopt met daarbij duidelijk gescheiden security contexts voor een bepaalde functionaliteit.
29-04-2020, 12:44 door Anoniem
@karma4,

Voorbeeldje -
In a TOCTOU vulnerability, software first checks…to see whether an activity is authorized,…and then waits some time before performing…the action that is authorized.…The catch is that the authorization status might have…changed during the time that elapsed.…Let's take a look at an example of a bank account.…Imagine an ATM machine that dispenses cash.…The algorithm for the machine…might work something like this:…First the user inserts an ATM card.…Then the user enters a personal identification number.…
Lees voor javascript: https://medium.com/@slavik57/async-race-conditions-in-javascript-526f6ed80665

Aan de vruchten kent men de boom a.k.a. aan het script kent men de code of de codeur(s).
Check uw inline scripts (source viewers, scanners, fuzzers).

Moeilijker is e.e.a. vast te stellen bij locked-in propriety code,
maar ook Free Software is er okk niet immer vrij van.

Ergo. Onderzoek alle code en behoudt de goede of betere code in veel gevallen.
Vertouw vooral op G*d, maar houdt ondanks dat toch steeds uw code op slot
(via obfuscatie bijvoorbeeld en added security layers).

luntrus
29-04-2020, 14:35 door Anoniem
Door Anoniem: Mis ik de grap?
Datum: Oct 20 2014, 6 years ago ...
Kernel 2.6
Serieus? versie 18.04 heeft als kernel al 4.15 ... time flies ...
Je mist niks is allemaal opgelost sinds glibc versie?
30-04-2020, 12:24 door Anoniem
Je kunt JavaScript code onderzoeken op openstaande gerapporteerde gebreken, op de dichtheid van defecten per coderegel, op fan-in fan-out, op coupling, op cyclomatische complexiteit, via Halstead complexiteit, open statische en dynamische analyse. In hoeverre voldoend aan CISQ en AEP en McCabe standaarden. Of de code kwaliteit en de stijl ervan laten beoordelen door derden.

O.a. via Shannon entropy kun je code-onderscheid maken tussen veilige en kwaadaardige code. Javascript Dichtheid Score voor grote blokken gecodeerde content, is kenmerkend voor kwaadaardige code. (minificatie en gebruik van bepaalde tekens (){}). Ook kan men bepaalde bedreigingen en afwijkingen zoeken via specifieke reguliere expressies ((|%3E) bijvoorbeeld met modifiers i en x aan het eind, samen met een detectie ratio, om alle tags op die wijze te kunnen checken.

Er is een waarde te vergelijken via Script Dichtheid, Entropie, Obfuscatie Regex Matches, aantal onderlinge links en dat produceert samen een lagere score bij onverdachte code dan bij verdachte en kwaadaardige code. Info bron o.a. Zscaler ThreatLabz

Hoe zit dat bij closed-in source. Wordt locked-in code ook zo doorgespit?

luntrus
30-04-2020, 14:11 door karma4
Door Anoniem: ……..
Hoe zit dat bij closed-in source. Wordt locked-in code ook zo doorgespit?
luntrus
Als het testen bij de gebruikers - afnemende organisaties goed gedaan wordt dan wordt dat behoorlijk doorlopen.
Hier krijg je snel een budget probleem een probleem van ongewenste geconstateerde problemen. Zeer ergerlijk als het verkoopverhaal heel andere verwachtingen bij de budgethouders voorgesteld heeft. Je raakte mijn frustratiepunt.
30-04-2020, 15:21 door souplost

Hoe zit dat bij closed-in source. Wordt locked-in code ook zo doorgespit?

luntrus
Ik heb een tijdje bij zo'n closed source firma gewerkt. Het antwoord is nee. Te weinig eyeballs . Features zijn het allerbelangrijkst want dat levert geld op. Als er iets mis gaat kan je altijd nog naar anderen wijzen.
30-04-2020, 15:22 door souplost
Door karma4:
Door Anoniem: ……..
Hoe zit dat bij closed-in source. Wordt locked-in code ook zo doorgespit?
luntrus
Als het testen bij de gebruikers - afnemende organisaties goed gedaan wordt dan wordt dat behoorlijk doorlopen.
Hier krijg je snel een budget probleem een probleem van ongewenste geconstateerde problemen. Zeer ergerlijk als het verkoopverhaal heel andere verwachtingen bij de budgethouders voorgesteld heeft. Je raakte mijn frustratiepunt.
logisch.
01-05-2020, 14:50 door Anoniem
Laat men dan zijn of haar bekertje koffie eens eventjes neerzetten en op zoek gaan, lieve mensen.

We weten allemaal dat een budgethouder geen code gaat doorspitten met behulp van reguliere expressies op tags bijvoorbeeld. Hij of zij zal ook niet blij zijn als leden van zijn/haar IT staff dat gaan doen, ondankshet feit,
dat het af en toe hard nodig is en je veel bitcointjes kan schelen als het erop aankomt.

Slimmerikjes worden overal "weggekeken", want zij veroorzaken rimpelingen binnen het oppervlak van het "graaicircus".
Maar we hebben ze wel broodnodig als een soort hack-out-of-the-box-security-cyborg-defense-force.

Anders wordt alles onder multinational graainiveau als thans "overcompleet" afgeserveerd. Dag MKB bijvoorbeeld -
gaat u maar lekker verder met PHP en uw gelikte en onveilige CMS-platformpje. Amazon dendert wel door,
hoeveel miljard extra nu tijdens dit COVID-19 seizoen alweer?

Zonder bepaalde betaalde research-autisten worden bepaalde verbanden niet opgemerkt of bepaalde krenten niet uit de code-pap gevist. Je wilt toch niet dat alleen cybercriminelen deze onveiligheid ontdekken en ten gelde gaan maken?

J.O.
01-05-2020, 17:13 door souplost
Door Anoniem: Laat men dan zijn of haar bekertje koffie eens eventjes neerzetten en op zoek gaan, lieve mensen.

We weten allemaal dat een budgethouder geen code gaat doorspitten met behulp van reguliere expressies op tags bijvoorbeeld. Hij of zij zal ook niet blij zijn als leden van zijn/haar IT staff dat gaan doen, ondankshet feit,
dat het af en toe hard nodig is en je veel bitcointjes kan schelen als het erop aankomt.

Slimmerikjes worden overal "weggekeken", want zij veroorzaken rimpelingen binnen het oppervlak van het "graaicircus".
Maar we hebben ze wel broodnodig als een soort hack-out-of-the-box-security-cyborg-defense-force.

Anders wordt alles onder multinational graainiveau als thans "overcompleet" afgeserveerd. Dag MKB bijvoorbeeld -
gaat u maar lekker verder met PHP en uw gelikte en onveilige CMS-platformpje. Amazon dendert wel door,
hoeveel miljard extra nu tijdens dit COVID-19 seizoen alweer?

Zonder bepaalde betaalde research-autisten worden bepaalde verbanden niet opgemerkt of bepaalde krenten niet uit de code-pap gevist. Je wilt toch niet dat alleen cybercriminelen deze onveiligheid ontdekken en ten gelde gaan maken?

J.O.
Wat heeft deze oratie met Netherlands commits to Free Software by default te maken?
01-05-2020, 17:33 door karma4
Door Anoniem: ..Slimmerikjes worden overal "weggekeken", want zij veroorzaken rimpelingen binnen het oppervlak van het "graaicircus". Maar we hebben ze wel broodnodig als een soort hack-out-of-the-box-security-cyborg-defense-force.
..
J.O.
Dank je. En nee, roepen dat iets open source is laat de hele ketenafhankelijkheid niet zien. Juist met een keten onder je handen kan je daar wel wat mee.
01-05-2020, 17:50 door souplost
Door karma4:
Door Anoniem: ..Slimmerikjes worden overal "weggekeken", want zij veroorzaken rimpelingen binnen het oppervlak van het "graaicircus". Maar we hebben ze wel broodnodig als een soort hack-out-of-the-box-security-cyborg-defense-force.
..
J.O.
Dank je. En nee, roepen dat iets open source is laat de hele ketenafhankelijkheid niet zien. Juist met een keten onder je handen kan je daar wel wat mee.
Free software is juist ontstaan om niet afh van een partij of keten te willen zijn, maar om voort te borduren op wat er al is gebouwd. Dat heet Stand On The Shoulders Of Others! Jij wil dat duidelijk niet. Je bent of niet de slimmerd die J.O. bedoeld of je verdient aan closed source en denkt dat nog steeds te kunnen uitbuiten door je klant gevangen te houden.
01-05-2020, 18:43 door Anoniem
@souplost

Voor sommigen is het toch zo moeilijk om in te zien. Die moet je met een specifiek voorbeeld met hun neus op de feiten drukken, anders willen ze het nog niet zien en draaien je boodschap juist om.
En al de andere code-"sheople" sukkelen wederom in. Niet allemaal, getuige de reactie's.

Voorbeeldje van een giant hole was aanwezig daarin en wel deze dll vanaf 1984 tot vrij recent - ATMF.DLL.
Je gelooft het aanvankelijk niet, he. Tot je je erin verdiept. En dan nog denk je. Hoe is het in vredesnaam mogelijk?

Lees: https://googleprojectzero.blogspot.com/2015/07/one-font-vulnerability-to-rule-them-all.html ATMF.DLL

Wat willen we dan eigenlijk? Gebeten worden door de hond of de kat (in dit geval de browser i.e. client
of het operationeel systeem- Windhoos in dit geval?).
Op ouder OS dan Windows 10 voor beveiliging alleen te hernoemen,
zie: https://www.fileinspect.com/fileinfo/atmfd-dll/

Leverde hier een gelockte draad op: https://answers.microsoft.com/en-us/insider/forum/insider_wintp-insider_devices-insiderplat_pc/resolved-bsod-on-windows-10-build-9879/895ad39d-8f1d-40b5-8ab4-56a5784a647e

Bij free non-propriety software had dit niet geduurd totdat men er niet meer onderuit kon
en het op zeer grote schaal grof werd misbruikt. Adobe, hoeveel deuken kon de reputatie ervan aan?
Het is als een dun laagje "chromium"op dit buggy schroot-OS.

Een fijne en gezonde week voor uw allen, lieve vrienden.

J.O.
01-05-2020, 20:02 door souplost - Bijgewerkt: 01-05-2020, 20:04
@J.O.
"Issue appears to be back" Couldn't boot into system at all anymore
Toen werd het maar ge-locked. Steeds hetzelfde verhaal.
Een giant hole vanaf 1984 tot vrij recent. Hoe is het mogelijk. Die moet aan de NSA zijn verkocht.
Ze mogen blij zijn dat ze de beschikking hebben over het dunne laagje chromium.
Toch weer open source die ze uit de brand helpt.
02-05-2020, 15:52 door Anoniem
@souplost,

Ja en dat is het frustrerende waar het closed-propriety software betreft.
Je weet vaak niet direct waar je het aan wijten moet (of aan te danken hebt) wanneer iets niet werkt.

Voorbeeldje bij het bekijken van een video op het banned.video portaal:

["VIDEOJS:","ERROR:",{"stack":"Error: Failed to set the 'duration' property on 'MediaSource':
The 'updating' attribute is true on one or more of this MediaSource's SourceBuffers.\n at t.value (/_next/static/chunks/d6e1aeb5.9c2aba513142fc04eaf5.js:1:279780)\n at n (/_next/static/chunks/d6e1aeb5.9c2aba513142fc04eaf5.js:1:340003)\n at t.<anonymous> (/_next/static/chunks/d6e1aeb5.9c2aba513142fc04eaf5.js:1:340172)\n at t.Me.n.dispatcher.n.dispatcher (/_next/static/chunks/d6e1aeb5.9c2aba513142fc04eaf5.js:1:10592)\n at Be (/_next/static/chunks/d6e1aeb5.9c2aba513142fc04eaf5.js:1:11380)\n at t.ze.trigger (/_next/static/chunks/d6e1aeb5.9c2aba513142fc04eaf5.js:1:13256)\n at t.value (/_next/static/chunks/d6e1aeb5.9c2aba513142fc04eaf5.js:1:197274)\n at /_next/static/chunks/d6e1aeb5.9c2aba513142fc04eaf5.js:1:196226\n at Object.callback (/_next/static/chunks/d6e1aeb5.9c2aba513142fc04eaf5.js:1:204628)\n at n (/_next/static/chunks/4e2d8e1a23941d5a2e97d794bab25bacd3d41344.13b853434d477e5a6c23.js:1:77696)\n at XMLHttpRequest.s (/_next/static/chunks/4e2d8e1a23941d5a2e97d794bab25bacd3d41344.13b853434d477e5a6c23.js:1:78472)\n at XMLHttpRequest.r (/_next/static/UJqsUuM2B7dj0KMuqv74w/pages/_app.js:1:28335)"}]
 /_next/static/UJqsUuM2B7dj0KMuqv74w/pages/_app.js:1

error kan worden opgeheven met:

appendIframe () {
console.log('onChange called')
let elem = document.getElementById('iframeContainer');
if(elem) {
let iframe = document.createElement('iframe');
iframe.src = this.presentIframeUrl;
iframe.setAttribute('frameborder' , "0");
iframe.setAttribute("id", "transcribed-content");
elem.innerHTML = iframe.outerHTML;
}

Hier was dus het dunne laagje de oorzaak.

J.O.
03-05-2020, 19:28 door Anoniem
Maar je zult je ook op de hoogte moeten stellen van de documentatie.
Hoe kun je reageren op EventBot malware bevindingen, als je dit bijvoorbeeld niet hebt gelezen,
namelijk waarom e.e.a. bij google android voor trojan bots niet wordt gecheckt?

https://linux.die.net/man/1/file

Het voordeel van Windows kernel en propriety android leren te midden van linux-mannetjes,
zoals ik dat eens moest doen. De lessen daar opgedaan, vergeet je nimmer.

Het is een manier van ergens naar kijken, dat je niet meer kunt afleren.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.